Apple, casus yazılımlar için kötüye kullanılabilecek istismar zincirleri için en yüksek ödülü 2 milyon dolara çıkararak Apple Güvenlik Ödülü programında “büyük bir gelişme” duyurdu.
Apple’ın resmi Güvenlik Araştırma blogunda şöyle anlatılıyor :
“Apple, yeni ödül kademeleri ve özellikleriyle Güvenlik Ödülü programında “büyük bir evrim” gerçekleştiriyor.
En yüksek ödül, paralı casus yazılım saldırılarına benzer etkiler yaratabilecek istismar zincirleri için iki katına çıkarılarak 2 milyon dolara çıkarılıyor.
Bunun da ötesinde, bonus ödüller (örneğin, Kilitlenme Modu’nu atlatma, beta yazılımlarda hata bulma) belirli durumlarda toplam ödemeleri 5 milyon doların üzerine çıkarabilir.
Apple ayrıca, tek tıklamayla WebKit korumalı alan kaçışı (300.000 ABD dolarına kadar) ve herhangi bir radyo frekansı üzerinden kablosuz yakınlık istismarları (1 milyon ABD dolarına kadar) dahil olmak üzere ödüllendireceği güvenlik açığı kategorilerini genişletiyor.
Araştırmacıların istismar edilebilirliği nesnel olarak göstermelerine (örneğin, belirli bir istismar ilkelinin “bayrağını” yakalamalarına) yardımcı olan ve değerlendirme ve ödül kararlarını daha şeffaf ve hızlı hale getiren bir mekanizma olan Hedef Bayrakları’nı kullanıma sunuyorlar.
Değişiklikler Kasım 2025’te yürürlüğe girecek.”
Neden önemli?
Apple, casus yazılım düzeyindeki istismar zincirlerini yani sıfır tıklama, bileşenler arası, ayrıcalık yükseltme gibi sorunları en ciddi tehditler arasında gördüğünü ve bu konuda iddialı olduğunu belirtiyor.
Apple, en yüksek ödülleri artırarak ve kategorileri genişleterek, üst düzey istismarların doğrudan kullanılmasına izin vermek yerine, bunları önceden tespit etmeye daha fazla yetenek ve çaba çekmeyi umuyor.
Hedef Bayrakları fikri, araştırmacılar için belirsizliği azaltabilir. Bu hamle aynı zamanda devlet destekli saldırı geliştiricileri için de caydırıcı bir mesaj niteliğinde.
Ödül Miktarı Neden Yükseltildi?
Apple’ın ödül miktarını dramatik biçimde artırmasının arkasındaki nedenler arasında, gelişen saldırı zincirleri, artan karmaşıklık ve savunma maliyetleri, zorlu açık bulma maliyetleri bulunuyor.
Apple bu değişikliği, özellikle “parazit / casus yazılım tarzı zincir açıklar” (exploit chain) düzeyi için yapıyor. Yani artık tek bir bug değil, birçok bileşeni birbirine bağlayan karmaşıklıktaki açıklar hedefleniyor.
Büyük ödüller, elite düzey güvenlik araştırmacılarını Apple platformuna yönlendirmek için önemli bir motivasyon. Çünkü bu kişiler, açıklarını kara piyasaya (Dark Web) satma eğiliminde olabilirler. Apple bu teşvikle onları “resmi bildirime” yönlendirmeyi amaçlıyor.
Apple’ın eklediği güvenlik katmanları (Lockdown Mode, bellek bütünlüğü kontrolleri vb.) saldırganların işini zorlaştırıyor; bu nedenle Apple, araştırmacıların bu savunmaları aşacak açıkları bulmalarını daha değerli hale getiriyor.
Bu artırım Apple’ın güvenlik algısını güçlü tutmaya çalıştığını gösteriyor. “En büyük ödül veren program” mesajı, hem güvenlik araştırmacı topluluğuna hem kullanıcılara Apple’ın güvenliği ciddiye aldığına dair sinyal gönderiyor.
Zamanla platformlar daha güvenli hale geliyor; açık bulmak zorlaşıyor. Bu yüzden Apple, “zor bulunan, yüksek etkiye sahip açıklar” için ödülü artırarak bu maliyeti karşılamak istiyor.
Google; Meta ve Microsoft ile Karşılaştırma
Google genelde en kritik açıklar için $151.515 (standart ödül) ++ “Mobile VRP / kritik uygulamalarda” $300 000 seviyesine kadar ödüller veriyor. Chrome VRP için bir sandbox kaçışı açığına $250 000 ödül verilmiş örnek var. Google birçok farklı program (Cloud, Chrome, Mobil, AI) ile ödüller dağıtıyor.
Microsoft’un Azure için ödülleri genelde $500 – $60 000 arasında. Bazı programlarda $100 000 ödül verilebiliyor (Identity programı gibi) .NET özelinde bazı yenilemelerle ödül $40 000’a çıkarıldı. Microsoft’un birçok farklı alt programı var (Azure, Windows Insider, Identity, Copilot, Dynamics) ve her biri için farklı ödül aralıkları geçerli.
Meta’nın ise $300.000 ödülü var. Diğer türde açıklar için (hesap ele geçirme, 2FA atlatma vs) genellikle daha düşük seviyeler (örneğin $30.000 civarları). Meta’nın bug bounty programı sayfasında örnek ödüller görülüyor (WhatsApp, 2FA bypass, güvenlik zafiyetleri).
Kaynak : 