Apple lover opptil 2 millioner dollar til den som klarer dette

Apple har kunngjort en kraftig oppgradering av sitt program for sikkerhetsforskere. Den som klarer å finne og dokumentere et alvorlig sikkerhetshull i iPhone, kan nå bli belønnet med opptil 2 millioner dollar. Tidligere var toppgevinsten på 1 million, men Apple øker nå beløpet for å motivere flere eksperter til å finne sårbarheter før de utnyttes av kriminelle eller statlige aktører.

Belønningen gjelder spesielt for funn som kan brukes til avanserte spionangrep, såkalte «mercenary spyware»-angrep. Ifølge Apple er dette den høyeste belønningen i et sikkerhetsprogram noensinne. Selskapet åpner også for at beløpet kan økes til 5 millioner dollar dersom funnet samtidig klarer å omgå den ekstra sikre Lockdown Mode.

Nye satser og flere kategorier

Apple øker samtidig utbetalingene for en rekke andre typer sikkerhetshull. Et funn som lar deg bypasse Gatekeeper – macOS-systemet som hindrer uautoriserte apper – er nå verdt 100 000 dollar. Klarer du å skaffe uautorisert tilgang til iCloud, kan belønningen være på hele 1 million dollar.

I tillegg utvider Apple programmet til å omfatte flere kategorier, blant annet WebKit-hacks og sårbarheter i trådløs kommunikasjon.

Fra lukket til åpen sikkerhetskultur

Apples forhold til sikkerhetsforskere har endret seg dramatisk de siste årene. Selskapet var lenge kjent for å være restriktivt og lite samarbeidsvillig. Før 2020 hadde Apple faktisk ingen offentlig «bug bounty»-ordning i det hele tatt – noe konkurrenter som Google hadde hatt i mange år.

Nå har Apple delt ut over 35 millioner dollar til mer enn 800 forskere gjennom programmet. De lanserer også en ny ordning kalt Target Flags, som lar forskere raskt dokumentere hvor alvorlig et hull er. Det gir mulighet for raskere utbetalinger, ofte før Apple rekker å publisere en oppdatering som tetter feilen.

Kampen mot avansert spionvare

Bakgrunnen for satsingen er blant annet trusselen fra avanserte spionprogrammer som NSO Groups berømte Pegasus-program. Pegasus kunne tidligere infisere iPhoner uten at brukeren trykket på noe som helst, og gi angriperen full tilgang til meldinger, bilder og samtaler.

Apple har i årevis ligget i et kappløp mot slike aktører, og gikk til og med til søksmål mot NSO Group i 2021. Søksmålet ble droppet i 2024 for å unngå at sensitiv informasjon om Apples sikkerhetssystemer ble offentlig.

"Statssponsede aktører bruker millioner på å utvikle overvåkningsteknologi uten reelt tilsyn. Derfor må vi sørge for at iPhone forblir den sikreste forbrukerenheten på markedet", sa Apples sikkerhetssjef Craig Federighi den gangen.

Ny iPhone med ekstra beskyttelse

Samtidig lanserer Apple nye sikkerhetsfunksjoner i iPhone 17-serien, blant annet Memory Integrity Enforcement (MIE) – en teknologi som beskytter minnet mot ondsinnet kode.

MIE gjør det nærmest umulig å injisere fremmed programkode i systemet, fordi bare verifisert og signert kode får tilgang til beskyttet minne. Apple beskriver MIE som den største sikkerhetsoppgraderingen på 25 år, og hevder den vil gjøre det ekstremt kostbart å utvikle nye angrepsmetoder mot iPhone.