В ноябре Apple обновляет свою программу Security Bounty, предлагая одни из самых высоких вознаграждений в отрасли. Топ-награда была удвоена с 1 до 2 миллионов долларов за обнаружение «цепочек эксплойтов, которые могут достичь целей, аналогичных атакам сложного шпионского ПО наемников» и не требуют никакого взаимодействия с пользователем. Однако максимальная сумма выплат может превысить 5 миллионов долларов за обнаружение более критических уязвимостей, таких как ошибки в бета-версиях программного обеспечения и обходы режима блокировки (Lockdown Mode). Режим блокировки — это улучшенная архитектура безопасности в браузере Safari.
Кроме того, компания вознаграждает обнаружение цепочек эксплойтов с однократным взаимодействием пользователя суммой до 1 миллиона долларов вместо прежних 250 000 долларов. Вознаграждение за атаки, требующие физического приближения к устройствам, теперь также может достигать 1 миллиона долларов (ранее — 250 000 долларов), а максимальное вознаграждение за атаки, требующие физического доступа к заблокированным устройствам, было удвоено до 500 000 долларов. Наконец, исследователи, «которые демонстрируют последовательность выполнения кода WebContent с выходом из песочницы, могут получить до 300 000 долларов». Вице-президент Apple по обеспечению безопасности и архитектуре Иван Крстич сообщил Wired, что с момента запуска и расширения программы за последние несколько лет компания выплатила более 35 миллионов долларов более чем 800 специалистам по безопасности. Очевидно, что выплаты высшего класса случаются очень редко, но Apple неоднократно делала выплаты в размере 500 000 долларов.
Компания заявила в своем объявлении, что единственные атаки на уровне системы iOS, которые она наблюдала в реальных условиях, исходили от наемного шпионского ПО, исторически связанного с государственными структурами и обычно используемого для нацеливания на конкретных лиц. Компания отметила, что ее новые функции безопасности, такие как режим блокировки и защита целостности памяти (Memory Integrity Enforcement), которая борется с уязвимостями повреждения памяти, могут затруднить проведение атак наемников. Однако злоумышленники продолжат совершенствовать свои методы, и Apple надеется, что обновление программы вознаграждений с увеличенными выплатами сможет «стимулировать высококлассные исследования наиболее критических поверхностей атак, несмотря на возросшую сложность».
