Güvenlik araştırmacılarına 2 milyon dolarlık Apple fırsatı!

Apple, güvenlik araştırmacılarına yönelik bug bounty programında kapsamlı bir güncelleme açıkladı. Şirket istismar zincirleri (exploit chains) için verilen en yüksek ödülü iki katına çıkararak 2 milyon dolar seviyesine yükseltti ve ödül yapısını, gerçek dünya saldırılarına daha yakın bir kritere göre yeniden biçimlendirdi.

Tam zincirlere ve gerçek saldırı senaryolarına odaklanan yeni ödül yapısı

Yapılan değişikliklerle Apple artık tek tek açıklar yerine tam istismar zincirlerini önceliklendiriyor. Şirketin açıklamasına göre gerçek dünyada başarılı saldırılar genellikle birden fazla açık aracılığıyla zincirlenerek gerçekleştiriliyor; bu nedenle en yüksek ödemeler de bu tür kapsamlı senaryolara verilecek. Uzaktan giriş (remote-entry) vektörleri ve gerçek saldırılarda sık görülen kategoriler için ödüller önemli ölçüde artırıldı. Buna karşın gerçekte nadiren görülen veya saldırı operasyonlarında sık kullanılmayan kategorelerdeki açıklar için daha düşük ödüller uygulanacak.

Apple Lockdown Mode atlatma (bypass) raporları ve beta yazılımlarda tespit edilen açıklar için ek bonuslar da sunacağını belirtirken, toplam ödemelerin 5 milyon doların üzerine çıkabileceğini ifade etti. Şirket bu rakamın “herhangi bir ödül programı tarafından sunulan en yüksek ödeme” olduğunu iddia ediyor.

Programın güncellenen unsurlarından biri de “Target Flags” mekanizması. Capture-the-flag (CTF) oyunlarından esinlenen bu yaklaşımda bir araştırmacı istismarı başarıyla gerçekleştirdiğinde eriştiği yetki seviyesini (örneğin kod çalıştırma, keyfi okunabilir/yazılabilir erişim vb.) kanıtlayan bir bayrağı (flag) yakalayabiliyor. Apple bu flag’i doğruladıktan sonra araştırmacıya ödül bildirimi hemen iletilebiliyor ve ödeme planlanan bir sonraki ödeme döngüsünde yapılabiliyor. Bu daha önce araştırmacıların açığı Apple yamalayana kadar beklemek zorunda kaldığı uzun bekleme sürecini kısaltıyor.

Güncellenen programa göre öne çıkan kategori ve ödül örnekleri şöyle sıralanıyor: tek tıklamayla WebKit sandbox kaçışları (one-click WebKit sandbox escapes) için 300.000 dolara kadar herhangi bir radyo üzerinden gerçekleştirilen kablosuz yakınlık (wireless proximity) istismarları için ise 1 milyon dolara kadar ödeme verilebilecek. macOS’ta Gatekeeper atlatma (complete Gatekeeper bypass) raporları için ayrılan miktar 100.000 dolar olarak belirlendi.

Apple yeni kuralların Kasım 2025 itibarıyla yürürlüğe gireceğini duyurdu. Programın öncelik verdiği değişiklikler arasında raporlanan açıkların tesbit edildiği anda araştırmacıya sağlanan doğrulama sürecinin hızlandırılması ve ödemelerin daha öngörülebilir bir takvimde yapılması yer alıyor. Şirket bu revizyonların gelişmiş, ücretli ve devlet destekli tersine mühendislik saldırılarıyla (mercenary spyware) başa çıkmak üzere istismar zincirlerinin tespitini teşvik etmek amacıyla gerçekleştirildiğini belirtiyor.

Güncellenen yapı araştırmacılara daha yüksek ve daha hızlı geri dönüş vaat ederken, Apple’ın açıklamaları programın kapsamını ve ödül dağılım kriterlerini de daha açık hâle getirmeyi hedeflediğini ortaya koyuyor. Programın ayrıntılı kılavuzu ve başvuru süreçleri Apple’ın resmi güvenlik sayfalarında yayımlanacak.