iPhone kullanıcıları dikkat: Apple duyurdu, güvenlik açığı tespitine iki milyon dolar ödenecek
Apple, iPhone ve Mac güvenliğini güçlendirmek için bug bounty programını genişletti. Kullanıcı etkileşimi olmadan ele geçirme (zero-click) ve yakın mesafe saldırıları için en yüksek ödül 2 milyon dolar olarak belirlendi. Şirket ayrıca yazılımsal savunmaları da güçlendiriyor. İşte detaylar:
1-8
Neden bu hamle? Paralı casus yazılım tehdidi
Apple, son dönemde artan paralı casus yazılım ve gelişmiş hedefli saldırılar nedeniyle güvenlik stratejisini güçlendiriyor.
Şirket, saldırıların genellikle birden fazla açık birleştirilerek gerçekleştirildiğini ve maliyetinin çok yüksek olduğunu belirtiyor. Bu tür tehditleri erken tespit etmek için araştırmacılara verilen ödüller cazip hale getirildi.
2-8
Zero-click için rekor ödül: 2 milyon dolar
Apple’ın yeni düzenlemesine göre, kullanıcı etkileşimi olmadan cihaz ele geçirilmesine neden olan zero-click açıklar için verilecek en yüksek ödül 2 milyon dolar.
3-8
Yakın mesafede gerçekleştirilen saldırılar (proximity attacks) gibi kritik zafiyetler de yüksek ödeme skalasında yer alıyor.
4-8
Bug bounty programının evrimi
Apple’ın bug bounty programı 2016’da sınırlı bir araştırmacı grubuyla başladı; 2019’dan sonra tüm güvenlik araştırmacılarına açıldı. İlk yıllardaki 100 bin – 1 milyon dolar aralığından sonra ödüllerin artırılması, şirketin güvenlik açığı bulma ve bildirim mekanizmasını stratejik öncelik haline getirdiğini gösteriyor.
5-8
Yazılımsal ve donanımsal savunma hamleleri
Apple, sadece ödül artırmakla kalmıyor; yazılım tarafında da yeni savunma katmanları getiriyor:
Lockdown Mode ile hedefli casus yazılımlara karşı ekstra koruma,
Memory Integrity Enforcement ile iPhone 17 ve iPhone Air modellerinde bellek tabanlı saldırılara karşı güçlendirme.
Bu önlemler, sistem seviyesindeki saldırıları “daha zor ve maliyetli” hale getirmeyi amaçlıyor.
6-8
Hedef: Açıkları etik bildirimle kapatmak
Apple, güvenlik araştırmacılarını teşvik ederek zafiyetlerin kötü niyetlilerce kullanılmadan önce şirkete bildirilmesini sağlamak istiyor.
7-8
Artan ödüller ve yeni savunma araçları, hem kullanıcı güvenliğini hem de şirket itibarını korumaya yönelik bütünsel bir stratejinin parçası.
8-8
