Apple, yaklaşık on yıl önce başlattığı hata ödül programında büyük buluşlar için verdiği maksimum ödülleri yine yükseltti. Daha önce 2016'da 200 bin dolar, 2019'da ise 1 milyon dolar ile dikkat çeken şirket, şimdi bu rakamı 2 milyon dolara çıkardı. Paris'te düzenlenen Hexacon güvenlik konferansında Apple Güvenlik Mühendisliği ve Mimari Başkan Yardımcısı Ivan Krstić, özellikle casus yazılım (spyware) gibi kötü amaçlı yazılımların kötüye kullanılmasına yol açabilecek yazılım açıkları zincirleri için ödülün rekor seviyeye ulaştığını duyurdu.
Bu gelişme, Apple'ın sıkı korunan mobil ekosistemindeki güvenlik açıklarının ne kadar değerli olabileceğini ve şirketin bu tür keşiflerin kötü ellere geçmesini engellemek için ne kadar çaba harcadığını gösteriyor. Şirketin hata ödül programı, bireysel ödemelerin yanı sıra, ekstra güvenli Kilit Modu'nu (Lockdown Mode) aşan açıkları veya henüz beta aşamasında olan Apple yazılımlarında bulunan açıkları bulan araştırmacılara ek bonuslar da sunuyor. Bu eklemelerle birlikte, potansiyel olarak yıkıcı bir açık zinciri için verilebilecek maksimum ödül 5 milyon dolara ulaşıyor. Bu değişiklikler önümüzdeki ay yürürlüğe girecek.
Krstić, yaptığı açıklamada, "Burada milyonlarca dolar ödemeye hazırız ve bunun bir nedeni var," dedi. "En zor kategoriler, en karmaşık problemler ve paralı casus yazılımların kullandığı saldırılara en çok benzeyen durumlar için, o beceri ve yeteneğe sahip, zaman ve çaba harcayan araştırmacıların muazzam bir ödül alabilmesini sağlamak istiyoruz."
Şirketten yapılan açıklamaya göre, dünya genelinde 2.35 milyar aktif Apple cihazı bulunuyor. Hata ödül programı başlangıçta yalnızca önde gelen araştırmacılara açıktı, ancak 2020'de halka açılmasının ardından bugüne kadar 800'den fazla güvenlik araştırmacısına 35 milyon dolardan fazla ödül verildiği belirtildi. Yüksek meblağlı ödemeler nadir olsa da, Krstić son yıllarda birden fazla 500 bin dolarlık ödeme yapıldığını ifade etti.
Daha yüksek potansiyel ödüllerin yanı sıra Apple, hata ödül programının kapsamını "WebKit" tarayıcı altyapısındaki belirli bir tür tek tıklamayla tetiklenen açıklar ve her türlü radyo ile gerçekleştirilebilen kablosuz yakınlık açıkları gibi alanları da kapsayacak şekilde genişletiyor. Ayrıca, "Hedef İşaretleri" (Target Flags) adında yeni bir özellik de sunularak, gerçek dünya senaryolarında Apple yazılımlarının yeteneklerini hızlı ve kesin bir şekilde göstermeleri için araştırmacılara fırsat tanınıyor.
Apple'ın hata ödül programı, tehlikeli güvenlik açıklarının yaygınlığını azaltmaya veya bunların kötüye kullanılmasını engellemeye yönelik uzun vadeli yatırımlardan sadece biri. Örneğin, şirketin beş yılı aşkın bir çalışmasının ardından, yeni iPhone modellerinde sıkça istismar edilen bir iOS hatası sınıfını etkisiz hale getirmeyi amaçlayan bir güvenlik koruması duyuruldu. Bellek Bütünlüğü Zorlaması (Memory Integrity Enforcement) olarak bilinen bu özellik, özellikle aktivistler, gazeteciler ve politikacılar gibi hedef alınan en savunmasız az sayıda kullanıcıyı korumayı hedeflerken, yeni cihaz kullanıcılarının genel güvenliğini de artırıyor. Bu doğrultuda şirket, hedefli dijital saldırılara maruz kalma riski taşıyan kişilerin hakları için çalışan kuruluşlara bin adet iPhone bağışlayacağını duyurdu.
Krstić, bu çabaların, paralı casus yazılımlarla hedef alınan çok küçük bir kullanıcı grubunu korumak için büyük bir çaba gibi görünebileceğini ancak gazetecilerin, teknoloji şirketlerinin ve sivil toplum kuruluşlarının raporladığına göre bu teknolojilerin sürekli olarak kötüye kullanıldığını söyledi. "Bu kullanıcılara karşı büyük bir ahlaki sorumluluk hissediyoruz," diyen Krstić, "Kullanıcılarımızın büyük çoğunluğu hiçbir zaman bu tür bir saldırıya uğramayacak olsa da, bu yaptığımız çalışma herkes için korumayı artıracaktır."
