โปรแกรม Apple Security Bounty ปรับครั้งใหญ่ เพิ่มเพดานรางวัลสำหรับ exploit chain ขั้นสูงเป็น 2 ล้านดอลลาร์ และรวมโบนัสสูงสุดทะลุ 5 ล้านดอลลาร์
Apple ประกาศอัปเกรดครั้งใหญ่ให้กับโปรแกรม Apple Security Bounty หรือโครงการมอบรางวัลให้กับนักวิจัยด้านความปลอดภัยที่รายงานช่องโหว่ โดยเพิ่มเพดานรางวัลให้สูงที่สุดในอุตสาหกรรม เพื่อกระตุ้นให้เกิดการวิจัยในระดับลึกบนพื้นผิวการโจมตีที่สำคัญของระบบปฏิบัติการและอุปกรณ์ Apple
หลังจากเปิดตัวโครงการในปี 2020 Apple ได้จ่ายเงินรางวัลรวมกว่า 35 ล้านดอลลาร์สหรัฐ ให้กับนักวิจัยมากกว่า 800 คนทั่วโลก โดยบางรายได้รับมากถึง 500,000 ดอลลาร์ ต่อรายงาน ล่าสุดบริษัทประกาศเพิ่มรางวัลสูงสุดเป็น 2 ล้านดอลลาร์ สำหรับ exploit chain ที่สามารถโจมตีได้ในระดับเดียวกับ mercenary spyware หรือสปายแวร์ขั้นสูงที่มักเกี่ยวข้องกับหน่วยงานของรัฐ และหากช่องโหว่นั้นสามารถข้าม Lockdown Mode ได้ หรือถูกค้นพบในซอฟต์แวร์เวอร์ชันเบต้า รางวัลรวมจะสูงสุดเกิน 5 ล้านดอลลาร์
Apple ยังเพิ่มรางวัลในหมวดหมู่อื่น ๆ เช่น 100,000 ดอลลาร์ สำหรับการเจาะระบบ Gatekeeper บน macOS แบบไม่ต้องมีการยืนยันจากผู้ใช้ และ 1 ล้านดอลลาร์ สำหรับการเข้าถึง iCloud โดยไม่ได้รับอนุญาต ซึ่งจนถึงปัจจุบันยังไม่มีใครทำได้สำเร็จ
หมวดหมู่ใหม่และรางวัลที่เพิ่มขึ้น ครอบคลุมพื้นที่โจมตีที่สำคัญมากขึ้น เช่น การโจมตีผ่าน WebKit แบบคลิกเดียวที่สามารถหลุดออกจาก Sandbox ได้ (สูงสุด 300,000 ดอลลาร์) และการโจมตีด้วยสัญญาณไร้สายแบบใกล้ชิด (สูงสุด 1 ล้านดอลลาร์) ซึ่งครอบคลุมทุกระบบวิทยุในอุปกรณ์รุ่นใหม่ที่ใช้ชิป C1, C1X และ N1
Apple ยังเปิดตัวระบบใหม่ชื่อ Target Flags เพื่อให้นักวิจัยสามารถพิสูจน์ระดับความเสี่ยงของช่องโหว่ได้อย่างเป็นรูปธรรม เช่น register control, arbitrary read/write หรือ code execution ซึ่งหากผ่านการตรวจสอบแล้ว บริษัทจะสามารถอนุมัติและจ่ายรางวัลได้ทันทีโดยไม่ต้องรอให้แพตช์ถูกปล่อยออกมา
รางวัลสูงสุดทั้งหมดจะมอบให้เฉพาะกับช่องโหว่ที่กระทบกับ ฮาร์ดแวร์และซอฟต์แวร์รุ่นล่าสุด เช่น ฟีเจอร์ Memory Integrity Enforcement ใน iPhone 17 และยังมีโบนัสพิเศษสำหรับการค้นพบช่องโหว่ในซอฟต์แวร์เบต้าเพื่อให้ Apple มีเวลาปิดช่องโหว่ก่อนเปิดตัวจริง
นอกจากนี้ Apple ยังเตรียมโครงการพิเศษในปี 2026 โดยจะมอบ iPhone 17 จำนวน 1,000 เครื่อง ให้กับองค์กรภาคประชาสังคมที่ทำงานด้านความปลอดภัยไซเบอร์เพื่อช่วยเหลือผู้ใช้ที่มีความเสี่ยงสูงจากการโจมตีด้วยสปายแวร์ พร้อมเปิดรับสมัครเข้าร่วมโครงการ Security Research Device Program สำหรับนักวิจัยที่ต้องการอุปกรณ์เพื่อค้นหาช่องโหว่เพิ่มเติม
Apple ระบุว่าการอัปเดตครั้งนี้เป็นการยกระดับมาตรฐานการวิจัยด้านความปลอดภัยให้สูงขึ้น พร้อมเพิ่มแรงจูงใจให้กับนักวิจัยที่สามารถค้นหาช่องโหว่ขั้นสูง ซึ่งจะช่วยปกป้องผู้ใช้กว่า 2.35 พันล้านเครื่องทั่วโลก และทำให้ระบบนิเวศของ Apple เป็นหนึ่งในแพลตฟอร์มที่ปลอดภัยที่สุดในโลก
ที่มา – Apple
Leave a Reply