Apple, güvenlik açıklarını bildiren araştırmacılara verdiği ödül miktarını önemli ölçüde artırdı. Şirketin güvenlik mühendisliği ve mimarisinden sorumlu Başkan Yarrdımcısı Ivan Krstic, Paris’te düzenlenen Hexacon saldırı güvenliği konferansında yaptığı açıklamada, casus yazılımlar tarafından kullanılabilecek yazılım açık zincirleri için maksimum ödülün 2 milyon dolar olacağını duyurdu.
Bu adım, Apple’ın sıkı güvenlik duvarlarıyla korunan mobil ekosisteminde istismar edilebilir açıkların ne kadar değerli hale geldiğini ve şirketin bu tür açıkların kötü niyetli kişilerin eline geçmemesi için ne kadar ileri gidebileceğini gösteriyor.
Krstic WIRED’a yaptığı açıklamada, “Burada milyonlarca dolar ödemeye hazırız ve bunun bir nedeni var,” diyerek şöyle devam etti:
“En zorlu kategorilerde, casus yazılım saldırılarına en çok benzeyen durumlarda çalışan araştırmacıların çabalarının büyük bir ödülle karşılık bulmasını istiyoruz.”
Toplam ödül 5 milyon doları bulacak
Apple’ın bug bounty programı, bireysel ödemelerin yanı sıra bir bonus sistemi de içeriyor. Şirket, ekstra güvenlikli Lockdown Mode’u aşabilen veya yazılım henüz beta aşamasındayken keşfedilen açıklar için ek ödüller verecek. Bu sayede, “felaket niteliğinde” olabilecek bir açık zinciri için toplam ödül miktarı 5 milyon dolara kadar çıkabilecek. Yeni ödül sistemi gelecek aydan itibaren yürürlüğe girecek.
Programın geçmişi
Apple’ın bug bounty programı yaklaşık 10 yıl önce yalnızca davet edilen güvenlik araştırmacılarına açıktı ancak program 2020’de halka açıldı ve o zamandan bu yana 800’den fazla araştırmacıya toplam 35 milyon dolar ödül verildi. Krstic son yıllarda birkaç kez 500 bin dolarlık ödemeler yaptıklarını da belirtti.
Yeni sistemle birlikte Apple, program kapsamına tek tıklamalı WebKit açıklarını ve her türlü kablosuz bağlantı üzerinden gerçekleştirilen yakın mesafe saldırılarını da dahil ediyor.
Ayrıca “Target Flags” adı verilen yeni bir uygulama ile araştırmacıların açıklarını hızla ve kesin biçimde kanıtlayabilmeleri için “capture the flag” (belirli güvenlik açıklarını bulup kullanarak dijital “bayrakları” ele geçirmeye çalıştığı yarışma türü) tarzı bir yarışma ortamı da sunulacak.
Yeni teknolojiler
Apple, sadece ödül sistemini değil, uzun vadeli güvenlik yatırımlarını da genişletiyor. Şirket, geçtiğimiz ay tanıttığı iPhone 17 serisinde, iOS’ta en sık istismar edilen açık türünü etkisiz hale getirmeyi amaçlayan “Memory Integrity Enforcement” (Bellek bütünlüğü koruması) adlı yeni bir güvenlik önlemini duyurdu.
Bu özellik, özellikle aktivistler, gazeteciler ve politikacılar gibi hedef alınma riski yüksek kullanıcıları korumayı amaçlarken, tüm kullanıcılar için de ek güvenlik sağlıyor.
Ayrıca Apple, bu amaçla çalışan sivil toplum kuruluşlarına bin adet iPhone 17 bağışlayacağını açıkladı.
“Ahlaki bir sorumluluğumuz var”
Krstic ayrıca şirketin yalnızca küçük bir kullanıcı grubunu değil, tüm ekosistemi koruma vizyonuna sahip olduğunu vurguladı ve sözlerini şöyle noktaladı:
'Casus yazılımlar çok az sayıda kullanıcıyı hedef alıyor olabilir, ancak gazeteciler, teknoloji şirketleri ve sivil toplum kuruluşları bu araçların sürekli kötüye kullanıldığını defalarca belgeledi. Bu insanları savunmak bizim için büyük bir ahlaki sorumluluk. Çoğu kullanıcı böyle bir saldırıya maruz kalmayacak olsa da bu çalışmalar herkesin güvenliğini artırıyor'
Kaynak: Gazete Oksijen
