Dal lancio del suo programma pubblico Apple Security Bounty nel 2020, Cupertino ha già distribuito oltre 35 milioni di dollari a più di 800 ricercatori di sicurezza, con ricompense individuali che hanno toccato i 500.000$. Tuttavia, la natura delle minacce informatiche, in particolare l’emergere di sofisticati spyware mercenari che costano milioni di dollari per essere sviluppati e vengono utilizzati contro un numero ristretto di individui mirati, ha richiesto una risposta ferma.
Per questo motivo, ha annunciato una svolta epocale per il suo programma di bug bounty, introducendo i premi più alti del settore.
Aumenti record per Apple Security Bounty: la corsa ai 5 milioni di dollari è il nuovo standard
L’aggiornamento, che entrerà in vigore nel novembre 2025, mira a stare al passo con gli avversari più avanzati. L’elemento più significativo dell’evoluzione del programma è il raddoppio del premio massimo, portandolo a 2 milioni di dollari per le catene di exploit capaci di raggiungere obiettivi simili agli attacchi sofisticati di spyware mercenari.
Questa rappresenta una cifra senza precedenti nel settore e, secondo Apple, la ricompensa più grande offerto da qualsiasi programma di bounty noto.
Inoltre, il sistema di bonus può più che raddoppiare questa ricompensa massima. I ricercatori possono ottenere premi aggiuntivi per le vulnerabilità scoperte nel software beta o per i bypass della Lockdown Mode, portando il premio potenziale massimo a superare i 5 milioni di dollari.
Questo aumento drastico riflette un cambiamento di priorità: Apple sta privilegiando significativamente gli exploit verificabili rispetto alle vulnerabilità teoriche e le catene di exploit complete o parziali rispetto ai singoli exploit. Dato che gli attacchi di spyware mercenarii tipicamente collegano molte vulnerabilità insieme per superare diversi confini di sicurezza, le ricompense sono state notevolmente incrementate.
Ad esempio, una catena zero-click passa da un massimo di 1 milione a 2 milioni di dollari, e un exploit wireless (su qualsiasi protocollo radio) vede il suo premio massimo salire a 1 milione. Anche le categorie di ricerca si stanno espandendo: Apple offre fino a 300.000$ per sandbox escape da 1 click in WebKit.
Oltre a incrementare le cifre, Cupertino ha introdotto un meccanismo per rendere il processo di ricompensa più rapido e trasparente: i Target Flag. Ispirati al gioco cattura bandiera, questi flag sono integrati nei sistemi operativi (iOS, macOS, visionOS, watchOS e tvOS) e consentono ai ricercatori di dimostrare oggettivamente il livello di capacità raggiunto nell’attacco. Quando i ricercatori utilizzano i Target Flag nel loro rapporto, Apple può verificare rapidamente il problema.
La vera rivoluzione è che coloro che li includono riceveranno la notifica del premio immediatamente dopo la convalida, anche prima che sia disponibile una patch di software. Il pagamento sarà emesso rapidamente, eliminando l’attesa che in passato poteva durare mesi, fino al rilascio del fix.
