Kể từ khi ra mắt Trong chương trình tiền thưởng lỗi gần một thập kỷ trước, Apple luôn chào mời các khoản thanh toán tối đa đáng chú ý— 200.000 USD vào năm 2016 và 1 triệu USD vào năm 2019. Giờ đây, công ty đang tăng số tiền đặt cược một lần nữa. Tại hội nghị bảo mật tấn công Hexacon ở Paris hôm thứ Sáu, phó chủ tịch kỹ thuật và kiến trúc bảo mật của Apple, Ivan Krstić, đã công bố khoản thanh toán tối đa mới là 2 triệu USD cho một chuỗi khai thác phần mềm có thể bị lạm dụng cho phần mềm gián điệp.
Động thái này phản ánh mức độ có giá trị của các lỗ hổng có thể khai thác được trong môi trường di động được bảo vệ nghiêm ngặt của Apple — và công ty sẽ nỗ lực hết sức để giữ cho những khám phá đó không rơi vào tay kẻ xấu. Ngoài các khoản thanh toán riêng lẻ, tiền thưởng lỗi của công ty cũng bao gồm cơ cấu tiền thưởng, bổ sung các giải thưởng cho các hoạt động khai thác có thể vượt qua Chế độ khóa an toàn bổ sung cũng như các giải thưởng được phát hiện khi phần mềm Apple vẫn đang trong giai đoạn thử nghiệm beta. Tổng hợp lại, phần thưởng tối đa cho chuỗi khai thác có khả năng gây thảm họa giờ đây sẽ là 5 triệu USD. Những thay đổi sẽ có hiệu lực vào tháng tới.
Krstić nói với WIRED: “Chúng tôi đang xếp hàng để trả hàng triệu đô la ở đây và có lý do. “Chúng tôi muốn đảm bảo rằng đối với những danh mục khó nhất, những vấn đề khó nhất, những thứ phản ánh gần nhất các loại tấn công mà chúng tôi thấy với phần mềm gián điệp đánh thuê—rằng những nhà nghiên cứu có những kỹ năng và khả năng đó cũng như nỗ lực và thời gian đó có thể nhận được phần thưởng to lớn.”
Apple cho biết có hơn 2,35 tỷ thiết bị của họ đang hoạt động trên toàn thế giới. Chương trình thưởng lỗi của công ty ban đầu là một chương trình chỉ dành cho những nhà nghiên cứu nổi tiếng được mời, nhưng kể từ khi mở cửa cho công chúng vào năm 2020, Apple cho biết họ đã trao hơn 35 triệu USD cho hơn 800 nhà nghiên cứu bảo mật. Các khoản thanh toán hàng đầu bằng đô la là rất hiếm, nhưng Krstić nói rằng công ty đã thực hiện nhiều khoản thanh toán 500.000 đô la trong những năm gần đây.
Ngoài các phần thưởng tiềm năng cao hơn, Apple cũng đang mở rộng các danh mục của phần thưởng lỗi để bao gồm một số loại khai thác cơ sở hạ tầng trình duyệt “WebKit” chỉ bằng một cú nhấp chuột cũng như các hoạt động khai thác vùng lân cận không dây được thực hiện với bất kỳ loại radio nào. Và thậm chí còn có một sản phẩm mới được gọi là “Target Flags” đưa khái niệm bắt giữ các cuộc thi hack cờ vào thử nghiệm trong thế giới thực đối với phần mềm của Apple nhằm giúp các nhà nghiên cứu chứng minh khả năng khai thác của họ một cách nhanh chóng và dứt khoát.
Tiền thưởng phát hiện lỗi của Apple chỉ là một trong nhiều khoản đầu tư dài hạn nhằm giảm sự phổ biến của các lỗ hổng nguy hiểm hoặc ngăn chặn việc khai thác chúng. Ví dụ: sau hơn 5 năm làm việc, công ty đã công bố tính năng bảo vệ an ninh vào tháng trước trên dòng iPhone 17 mới nhằm mục đích vô hiệu hóa loại lỗi iOS bị khai thác thường xuyên nhất. Được biết đến với tên gọi Thực thi tính toàn vẹn của bộ nhớ, tính năng này là một bước tiến lớn nhằm bảo vệ một thiểu số nhỏ trong số các nhóm dễ bị tổn thương nhất và bị nhắm mục tiêu cao nhất trên khắp thế giới—bao gồm các nhà hoạt động, nhà báo và chính trị gia—đồng thời tăng cường khả năng bảo vệ cho tất cả người dùng thiết bị mới. Để đạt được mục tiêu đó, công ty đã thông báo vào thứ Sáu rằng họ sẽ tặng một nghìn chiếc iPhone 17 cho các nhóm bảo vệ quyền làm việc với những người có nguy cơ phải đối mặt với các cuộc tấn công kỹ thuật số có chủ đích.
“Bạn có thể nói, đó có vẻ như là một nỗ lực rất lớn để chỉ bảo vệ một số lượng rất nhỏ người dùng đang là mục tiêu của phần mềm gián điệp đánh thuê, nhưng chỉ có một hồ sơ theo dõi không thể chối cãi được các nhà báo, công ty công nghệ và tổ chức xã hội dân sự mô tả rằng những công nghệ này liên tục bị lạm dụng,” Krstić nói. “Và chúng tôi cảm thấy có nghĩa vụ đạo đức to lớn trong việc bảo vệ những người dùng đó. Mặc dù thực tế là đại đa số người dùng của chúng tôi sẽ không bao giờ trở thành mục tiêu của bất kỳ điều gì như thế này, nhưng công việc mà chúng tôi đã thực hiện này sẽ giúp tăng cường khả năng bảo vệ cho mọi người.”
