Apple ha annunciato un aggiornamento sostanziale del suo programma Security Bounty, con premi che raggiungono cifre mai viste nel settore tecnologico. A partire da novembre, chi individuerà falle di sicurezza particolarmente gravi nei sistemi Apple potrà ottenere fino a 2 milioni di dollari, e in casi eccezionali oltre 5 milioni. L’obiettivo è chiaro: stimolare la ricerca avanzata in un contesto in cui le vulnerabilità più sofisticate — spesso usate da spyware di livello statale — sono sempre più difficili da scoprire.

Focus sugli attacchi più complessi

Il nuovo piano prevede ricompense raddoppiate per le scoperte di exploit che non richiedono alcuna interazione da parte dell’utente, cioè quelli che possono colpire dispositivi in modo silenzioso e remoto. Apple intende premiare anche la scoperta di catene di exploit che simulano attacchi di livello mercenario, come quelli impiegati da spyware di sorveglianza, con un tetto massimo di 2 milioni di dollari. Ma la soglia può salire oltre i 5 milioni per vulnerabilità in software beta o per bypass della Lockdown Mode, la funzione di sicurezza più avanzata introdotta in Safari e iOS.

Sono stati aumentati anche i compensi per attacchi con una minima interazione dell’utente — ora fino a 1 milione di dollari — e per quelli che richiedono vicinanza fisica al dispositivo. Gli exploit che implicano accesso fisico a un iPhone bloccato arrivano invece a 500.000 dollari, mentre chi dimostra una fuga dal sandbox partendo da codice WebContent potrà ottenere fino a 300.000 dollari.

Difesa dagli spyware

Secondo Ivan Krstić, vicepresidente di ingegneria della sicurezza Apple, l’azienda ha già distribuito oltre 35 milioni di dollari a più di 800 ricercatori dal lancio del programma. Le ricompense più elevate restano rare, ma Apple ha confermato di aver riconosciuto in passato diversi premi da mezzo milione di dollari.

La società spiega che gli attacchi più complessi osservati finora derivano da spyware mercenari usati da governi o organizzazioni di sorveglianza. Le nuove misure, unite a funzioni come la Memory Integrity Enforcement, puntano a rafforzare ulteriormente la difesa dei dispositivi Apple. Tuttavia, la consapevolezza è chiara: le minacce evolvono costantemente. Per questo, Cupertino sceglie di premiare chi, con rigore e competenza, aiuta a proteggere i suoi utenti individuando le vulnerabilità prima che lo facciano i criminali informatici.