Apple ha annunciato la più grande revisione del suo programma Security Bounty da quando, nel 2020, lo ha aperto al pubblico: ricompensa massima raddoppiata a 2 milioni di dollari per exploit chain legati agli attacchi da mercenary spyware.
Con i nuovi bonus (es. bypass di Lockdown Mode e vulnerabilità scovate su software beta) il payout potenziale può superare i 5 milioni per una singola segnalazione. Apple parla della “ricompensa più alta offerta da qualsiasi bounty program”.
Finora molti programmi hanno premiato bene anche il singolo bug isolato. Apple ora privilegia la catena completa: ingresso remoto, sandbox escape, privilege escalation. È un cambio importante perché rispecchia il campo di battaglia reale: gli attacchi moderni non sono quasi mai un colpo solo, ma una sequenza ben orchestrata.
Concretamente, i vettori di ingresso remoto ottengono un boost dei compensi; al contrario, categorie poco rappresentate negli attacchi pratici vengono ridimensionate. L’obiettivo è spingere i team di ricerca a ricostruire il percorso d’attacco end-to-end.
La novità più concreta per chi fa ricerca è l’introduzione delle Target Flags, un’idea mutuata dal mondo capture-the-flag. In poche parole: quando dimostri un exploit, puoi “catturare” una flag che certifica in modo oggettivo il livello di accesso raggiunto (esecuzione di codice, arbitrary read/write, sandbox escape, ecc.).
Queste flag sono verificabili da Apple e sbloccano due vantaggi enormi:
- Conferma del bounty immediata dopo la validazione della flag, senza dover attendere la release della patch.
- Pagamento nel ciclo successivo, riducendo drasticamente i tempi (prima, spesso, si aspettava mesi).
Per la community è un cambio importante: meno burocrazia, più certezza e liquidità per i team che scelgono il percorso della responsible disclosure.
Tra gli scaglioni annunciati spiccano:
- Fino a 300.000 dollari per one-click WebKit sandbox escape. Il browser resta uno dei fronti più caldi.
- Fino a 1 milione per exploit di prossimità wireless su qualsiasi radio. Il perimetro “senza tocco” è il più appetibile per gli attori avanzati.
- 100.000 dollari per un bypass completo di Gatekeeper su macOS, a conferma dell’attenzione anche al mondo desktop.
- Bonus dedicati per bypass di Lockdown Mode e per vulnerabilità scoperte su software beta.
Apple ricorda anche un dato storico: oltre 35 milioni di dollari già pagati a più di 800 ricercatori dal 2020. Numeri che, con il nuovo schema, sono destinati a crescere.
News