Apple vừa công bố việc mở rộng và thiết kế lại chương trình thưởng dành cho trường hợp phát hiện ra lỗi, tăng gấp đôi mức thưởng tối đa, bổ sung các hạng mục nghiên cứu mới và giới thiệu cơ cấu phần thưởng minh bạch hơn.

Kể từ khi chương trình ra mắt vào năm 2020, Apple đã trao thưởng 35 triệu đô la cho 800 nhà nghiên cứu bảo mật, trong đó công ty trả 500.000 đô la cho một số báo cáo được gửi.

Mức thưởng cao nhất đã được tăng gấp đôi lên 2 triệu đô la cho việc báo cáo các lỗ hổng có thể dẫn đến việc xâm nhập từ xa không cần nhấp chuột (không cần tương tác của người dùng), tương tự như các cuộc tấn công phần mềm gián điệp đánh thuê. Tuy nhiên, mức thưởng có thể lên tới 5 triệu đô la thông qua hệ thống thưởng.

“Đây là một khoản tiền thưởng chưa từng có trong ngành và là khoản thưởng lớn nhất được cung cấp bởi bất kỳ chương trình thưởng nào mà chúng tôi biết - và hệ thống thưởng của chúng tôi, cung cấp thêm phần thưởng cho việc vượt qua Chế độ Khóa và các lỗ hổng được phát hiện trong phần mềm beta, có thể tăng gấp đôi phần thưởng này, với mức thưởng tối đa vượt quá 5 triệu đô la”, Apple cho biết.

Các khoản thanh toán khác được tăng hoặc giới thiệu theo chương trình mới bao gồm:

Tấn công từ xa bằng một cú nhấp chuột (tương tác với người dùng) - 1.000.000 đô la

Tấn công không dây gần - 1.000.000 đô la

Truy cập iCloud trái phép trên diện rộng - 1.000.000 đô la

Chuỗi khai thác WebKit dẫn đến thực thi mã tùy ý chưa được ký - 1.000.000 đô la

Tấn công vào thiết bị bị khóa bằng quyền truy cập vật lý - 500.000 đô la

Thoát khỏi hộp cát ứng dụng - 500.000 đô la

Thoát khỏi hộp cát WebKit bằng một cú nhấp chuột - 300.000 đô la

MacOS Gatekeeper vượt qua hoàn toàn mà không cần tương tác của người dùng - 100.000 đô la

Giải thưởng khuyến khích 1.000 đô la cho các báo cáo có tác động thấp nhưng hợp lệ

Apple cho biết họ chưa bao giờ nhận được báo cáo nào chứng minh việc vượt qua Gatekeeper hoàn toàn mà không cần tương tác của người dùng hoặc truy cập iCloud trái phép trên diện rộng, vì vậy hai trường hợp này là những điểm thử thách cao đối với những người săn tiền thưởng lỗi.

Ngoài ra, Apple cho biết họ "chưa bao giờ chứng kiến ​​một cuộc tấn công thực tế nào, không cần nhấp chuột được thực hiện hoàn toàn thông qua công nghệ không dây gần", ám chỉ đến giải thưởng "Không dây gần" trị giá 1 triệu đô la, tăng từ 250.000 đô la trước đó.

Danh mục này cũng đang được mở rộng, hiện bao gồm các chip do Apple phát triển như modem C1 và C1X và chip không dây N1.

Đến năm 2026, Apple có kế hoạch phân phối một nghìn thiết bị iPhone 17 được bảo mật cho các thành viên của các tổ chức xã hội dân sự có nguy cơ cao bị phần mềm gián điệp đánh thuê nhắm mục tiêu.

Các thiết bị tương tự sẽ hỗ trợ Chương trình Thiết bị Nghiên cứu Bảo mật của Apple vào năm tới, mà các nhà nghiên cứu bảo mật có thể đăng ký trước ngày 31/10 năm nay.

“Gã khổng lồ” công nghệ này kỳ vọng rằng, việc tăng giải thưởng sẽ có tác động bổ sung đến sự phát triển của các chuỗi tấn công tinh vi từ các nhà cung cấp phần mềm gián điệp, vì các nhà nghiên cứu sẽ có động lực hơn trong việc tìm kiếm và báo cáo các vấn đề bảo mật.

Để bảo vệ người dùng khỏi các cuộc tấn công phần mềm gián điệp tinh vi, Apple đã triển khai các biện pháp bảo vệ tiên tiến trên hệ điều hành iOS như Chế độ khóa và Thực thi toàn vẹn bộ nhớ, khiến việc phát triển và thực hiện các cuộc tấn công phần mềm gián điệp lén lút trở nên tốn kém hơn.

Hà Linh