Apple, siber güvenlik araştırmacılarına yönelik açık programında önemli bir revizyona gitti. Şirket, güvenlik açıklarını bulanlara verilen ödül miktarını artırarak ve ödül yapısını gerçek dünya saldırılarına daha uygun hale getirerek programını güçlendirdi. En dikkat çekici değişiklik, istismar zincirleri için verilen en yüksek ödülün iki katına çıkarılarak 2 milyon dolara yükseltilmesi oldu.
Yeni ödül yapısı, tekil güvenlik açıklarından ziyade tam istismar zincirlerine odaklanıyor. Apple, gerçek dünyadaki başarılı saldırıların genellikle birden fazla açığın bir araya getirilmesiyle gerçekleştirildiğini ve bu nedenle en yüksek ödemelerin bu tür kapsamlı senaryolara ayrılacağını belirtiyor. Uzaktan erişim vektörleri ve yaygın saldırı türleri için ödüller önemli ölçüde artırılırken, nadiren görülen veya saldırı operasyonlarında daha az kullanılan açıklar için ödüller düşürülecek.
Şirket, Lockdown Mode atlatma raporları ve beta yazılımlarda bulunan açıklar için ek bonuslar sunarken, toplam ödemelerin 5 milyon doları aşabileceğini ifade etti. Apple, bu rakamın sektördeki diğer programlara kıyasla en yüksek olduğunu iddia ediyor.
Programdaki bir diğer yenilik ise “Target Flags” mekanizması. Capture-the-flag oyunlarından ilham alan bu yaklaşım, bir araştırmacının istismarı başarıyla gerçekleştirdiğinde eriştiği yetki seviyesini kanıtlayan bir bayrağı yakalamasına olanak tanıyor. Apple, bu bayrağı doğruladıktan sonra araştırmacıya ödül bildirimini anında iletebiliyor ve ödeme planlanan bir sonraki ödeme döngüsünde yapılıyor. Bu sayede araştırmacıların, açığın Apple tarafından düzeltilmesini bekleme süreci kısalıyor.
Güncellenen programa göre, tek tıklamayla WebKit sandbox kaçışları için 300.000 dolara kadar, herhangi bir radyo üzerinden gerçekleştirilen kablosuz yakınlık istismarları için ise 1 milyon dolara kadar ödeme yapılabilecek. macOS’ta Gatekeeper atlatma raporları için ayrılan miktar ise 100.000 dolar olarak belirlendi.
Yeni kurallar Kasım 2025’te yürürlüğe girecek. Programın öncelik verdiği değişiklikler arasında, raporlanan açıkların tespit edildiği anda araştırmacıya sağlanan doğrulama sürecinin hızlandırılması ve ödemelerin daha öngörülebilir bir takvimde yapılması yer alıyor. Apple, bu revizyonların gelişmiş, ücretli ve devlet destekli tersine mühendislik saldırılarıyla başa çıkmak üzere istismar zincirlerinin tespitini teşvik etmek amacıyla gerçekleştirildiğini vurguluyor.
Bu yeni yapı, araştırmacılara daha yüksek ve daha hızlı geri dönüşler vaat ederken, Apple’ın programın kapsamını ve ödül dağıtım kriterlerini daha şeffaf hale getirme amacını da ortaya koyuyor. Programın ayrıntılı kılavuzu ve başvuru süreçleri Apple’ın resmi güvenlik sayfalarında yayınlanacak.