اپل از افزایش پاداش باگ بانتی تا ۲ میلیون دلار خبر داد

یوسف اسفندیاری

۲۶ مهر ۱۴۰۴ | ۰۴:۴۷ زمان مورد نیاز برای مطالعه: ۲ دقیقه

شرکت اپل از یک بازنگری گسترده و اساسی در برنامه پاداش امنیتی خود، موسوم به «باگ بانتی»، خبر داد که بر اساس آن، سقف پاداش اصلی برای کشف زنجیره‌های اکسپلویت پیچیده دو برابر شده و به 2 میلیون دلار رسیده است. این اقدام با هدف مقابله با حملات سایبری پیشرفته و هم‌سطح با جاسوس‌افزارهای تجاری (mercenary spyware) صورت می‌گیرد. این شرکت همچنین اعلام کرده است که با احتساب پاداش‌های اضافی برای مواردی مانند دور زدن حالت Lockdown و کشف آسیب‌پذیری‌های امنیتی در نسخه‌های بتای نرم‌افزارها، مجموع پرداخت‌ها می‌تواند از مرز 5 میلیون دلار نیز فراتر رود. اپل مدعی است که این مبلغ، «بزرگ‌ترین پاداش ارائه‌شده در میان تمام برنامه‌های مشابه» در دنیای فناوری محسوب می‌شود.

یکی از کلیدی‌ترین تغییرات در این برنامه، تغییر تمرکز از آسیب‌پذیری‌های منفرد به «زنجیره‌های اکسپلویت» کامل است. این رویکرد جدید منعکس‌کننده‌ی این واقعیت است که حملات در دنیای واقعی معمولاً از طریق ترکیب چندین باگ به صورت متوالی انجام می‌شوند. در همین راستا، پاداش‌های مربوط به بردارهای نفوذ از راه دور (remote-entry vectors) به شکل چشمگیری افزایش یافته، در حالی که دسته‌بندی‌هایی که کمتر در حملات واقعی مشاهده می‌شوند، پاداش کمتری دریافت خواهند کرد.

اپل همچنین یک مکانیزم جدید به نام «پرچم‌های هدف» (Target Flags) را معرفی کرده است که از بازی‌های «تسخیر پرچم» الهام گرفته شده است. هنگامی که یک محقق امنیتی با موفقیت از یک آسیب‌پذیری بهره‌برداری می‌کند، می‌تواند پرچم مشخصی را به دست آورد که سطح دقیق دسترسی کسب‌شده، مانند قابلیت اجرای کد یا خواندن و نوشتن произвольный، را اثبات می‌کند. این پرچم‌ها توسط اپل قابل تأیید هستند و به محض اعتبارسنجی، محققان بلافاصله از تأیید پاداش خود مطلع می‌شوند. این سیستم جدید، فرآیند پرداخت را نیز تسریع می‌بخشد، زیرا دیگر نیازی نیست محققان تا زمان انتشار یک وصله‌ی نرم‌افزاری برای رفع مشکل منتظر بمانند؛ فرآیندی که پیش‌تر ممکن بود ماه‌ها به طول انجامد. چنین آسیب‌پذیری‌هایی می‌توانند حتی بهترین گوشی اپل را نیز در معرض خطر قرار دهند.

این برنامه به‌روزرسانی‌شده از نوامبر 2025 اجرایی خواهد شد. دسته‌بندی‌های جدیدی نیز به آن اضافه شده است که شامل فرار از سندباکس WebKit با یک کلیک (تا 300,000 دلار)، اکسپلویت‌های بی‌سیم از طریق هر نوع ارتباط رادیویی (تا 1 میلیون دلار)، و دور زدن کامل Gatekeeper در سیستم‌عامل macOS (تا 100,000 دلار) می‌شود. اپل از زمان عمومی کردن این برنامه در سال 2020، بیش از 35 میلیون دلار به بیش از 800 محقق امنیتی پرداخت کرده است.