Apple pôsobil dlhé roky ako uzavretá pevnosť, ktorá len neochotne uznávala prácu nezávislých bezpečnostných výskumníkov. To sa však teraz nadobro mení. Spoločnosť po novom zdvojnásobila najvyššiu odmenu v rámci svojho bug bounty programu a za odhalenie najzávažnejšej chyby v iPhone môžu výskumníci po novom získať až 2 milióny dolárov. Ide o najvyššiu sumu, akú kedy akýkoľvek technologický gigant ponúkol za objavenie zraniteľnosti.

Apple túto zmenu oznámil 10. októbra a zdôraznil, že takto hodnotná odmena je vyhradená len pre prípady, keď výskumník objaví exploit, ktorý má „rovnaké schopnosti ako sofistikovaný žoldniersky spyvér“. Ak sa navyše podarí preukázať aj obídenie Lockdown módu – špeciálneho bezpečnostného režimu iPhonu – celková suma sa môže vyšplhať až na 5 miliónov dolárov. Na tému poukázal portál BGR.

Odmeny rastú vo všetkých kategóriách

Apple zároveň zvýšil aj odmeny za ďalšie typy zraniteľností. Za spôsob, ako obísť systém Gatekeeper v macOS, výskumník dostane 100 000 dolárov, a za exploit umožňujúci neoprávnený prístup k iCloudu až 1 milión. Spoločnosť tiež rozširuje rozsah programu o nové kategórie, vrátane útokov na WebKit či zneužitia bezdrôtových pripojení v blízkom okolí.

Cieľom je, aby výskumníci mali väčšiu motiváciu nahlasovať zraniteľnosti priamo Apple a nie ich predávať na čiernom trhu, kde by sa mohli dostať do rúk útočníkov. Za posledných päť rokov vyplatila firma v rámci programu už viac ako 35 miliónov dolárov viac než 800 výskumníkom.

„Zavádzame Target Flags – nový spôsob, ako môžu výskumníci objektívne preukázať zneužiteľnosť v našich najdôležitejších kategóriách, ako sú vzdialené spúšťanie kódu alebo obídenie systému Transparency, Consent and Control (TCC),“ uviedol Apple. „Tí, ktorí odhalia chybu s využitím Target Flags, budú mať nárok na zrýchlené vyplatenie odmeny – ihneď po overení, ešte pred samotnou opravou.“

Branislav Petrus

Apple tak zmenil svoj prístup k bezpečnostným expertom o 180 stupňov. Ešte pred pár rokmi bolo bežné, že výskumníci márne čakali na odpoveď po nahlásení chyby. Dnes sa program Apple Bug Bounty radí medzi najotvorenejšie a najlukratívnejšie v technologickom svete. Nové podmienky začnú platiť už budúci mesiac.

Boj proti štátnym spyvérom

Mimoriadne zaujímavé je, že Apple spája rekordné odmeny s obranou proti „sofistikovaným žoldnierskym spyvérom“. Ide o jasnú reakciu na útoky softvérov, ako je Pegasus od izraelskej firmy NSO Group. Tento nástroj dokáže napadnúť iPhone bez akéhokoľvek zásahu používateľa – stačí, že zariadenie prijme správu, a spyvér sa nainštaluje automaticky. Pegasus mal prístup k správam, e-mailom, fotkám aj mikrofónu cieľového zariadenia.

Apple roky viedol s NSO Group boj v štýle „mačka verzus myš“. Keď opravil jednu zraniteľnosť, firma okamžite objavila ďalšiu. V roku 2021 Apple dokonca podal žalobu, obvinil NSO Group z „sledovania a cielenia používateľov Apple“. „Štátom sponzorovaní aktéri ako NSO Group míňajú milióny dolárov na špionážne technológie bez akejkoľvek zodpovednosti. Zariadenia Apple sú najbezpečnejším spotrebiteľským hardvérom, no tieto firmy sa stávajú čoraz nebezpečnejšími,“ povedal vtedy Craig Federighi, šéf softvérového inžinierstva v Apple.

Aj keď Apple žalobu v roku 2024 stiahol, spor jasne ukázal, že firma berie kybernetickú bezpečnosť ako strategickú prioritu. Dôkazom je aj nová ochranná vrstva v modeloch iPhone 17 – funkcia Memory Integrity Enforcement (MIE). Apple ju označuje za „najvýznamnejší posun v oblasti bezpečnosti pamäte v histórii spotrebiteľských operačných systémov“.

Táto technológia zabraňuje injektovaniu škodlivého kódu, keďže v chránenej pamäti môže bežať len dôveryhodný kód. Podľa Apple väčšina spyvérov využíva práve zraniteľnosti v správe pamäte, a MIE má tento typ útokov úplne eliminovať.

Spoločnosť tvrdí, že MIE „naruší mnohé z najúčinnejších exploitačných techník posledných 25 rokov a nanovo definuje pojem pamäťovej bezpečnosti v zariadeniach Apple“. V spojení s rozšíreným bug bounty programom ide o dôkaz, že Apple robí maximum preto, aby iPhone zostal najbezpečnejším smartfónom na trhu.

Čítajte viac z kategórie: Smartfóny