منذ إطلاقها منذ ما يقرب من عقد من الزمن، روجت شركة Apple دائمًا لبرنامج مكافآت اكتشاف الأخطاء البرمجية، حيث كانت تروج دائمًا للحد الأقصى للمدفوعات – 200000 دولار في عام 2016 ومليون دولار في عام 2019. والآن تعمل الشركة على زيادة المخاطر مرة أخرى. في مؤتمر Hexacon للأمن الهجومي في باريس يوم الجمعة، أعلن نائب رئيس شركة Apple للهندسة الأمنية والهندسة المعمارية، إيفان كرستيتش، عن حد أقصى جديد للدفع قدره 2 مليون دولار لسلسلة من عمليات استغلال البرامج التي يمكن إساءة استخدامها لبرامج التجسس.
وتعكس هذه الخطوة مدى قيمة الثغرات الأمنية القابلة للاستغلال داخل بيئة الهاتف المحمول المحمية للغاية من Apple – والمدى الذي ستبذله الشركة للحفاظ على مثل هذه الاكتشافات من الوقوع في الأيدي الخطأ. بالإضافة إلى الدفعات الفردية، تتضمن مكافأة الأخطاء التي تقدمها الشركة أيضًا هيكلًا إضافيًا، مما يضيف جوائز إضافية لبرامج الاستغلال التي يمكنها تجاوز وضع التأمين الإضافي الآمن، بالإضافة إلى تلك التي تم اكتشافها بينما لا يزال برنامج Apple في مرحلة الاختبار التجريبي. مجتمعة، فإن الحد الأقصى لمكافأة ما يمكن أن يكون سلسلة استغلال كارثية محتملة سيكون الآن 5 ملايين دولار. التغييرات تدخل حيز التنفيذ الشهر المقبل.
يقول كرستيتش لمجلة WIRED: “نحن نستعد لدفع عدة ملايين من الدولارات هنا، وهناك سبب لذلك”. “نريد التأكد من أنه بالنسبة لأصعب الفئات، وأصعب المشكلات، والأشياء التي تعكس بشكل وثيق أنواع الهجمات التي نراها باستخدام برامج التجسس المرتزقة – فإن الباحثين الذين لديهم تلك المهارات والقدرات وبذلوا هذا الجهد والوقت يمكنهم الحصول على مكافأة هائلة.”
تقول شركة Apple أن هناك أكثر من 2.35 مليار من أجهزتها النشطة حول العالم. كانت مكافأة الأخطاء التي تقدمها الشركة في الأصل عبارة عن برنامج دعوة فقط للباحثين البارزين، ولكن منذ افتتاحها للجمهور في عام 2020، تقول شركة Apple إنها منحت أكثر من 35 مليون دولار لأكثر من 800 باحث أمني. تعد الدفعات الأعلى بالدولار نادرة جدًا، لكن كرستيتش يقول إن الشركة حققت دفعات متعددة بقيمة 500 ألف دولار في السنوات الأخيرة.
بالإضافة إلى المكافآت المحتملة الأعلى، تعمل Apple أيضًا على توسيع فئات مكافأة الأخطاء لتشمل أنواعًا معينة من عمليات استغلال البنية التحتية للمتصفح “WebKit” بنقرة واحدة بالإضافة إلى عمليات استغلال القرب اللاسلكي التي يتم تنفيذها باستخدام أي نوع من أجهزة الراديو. وهناك أيضًا عرض جديد يُعرف باسم “Target Flags” يضع مفهوم مسابقات اختراق العلم في اختبار حقيقي لبرامج Apple لمساعدة الباحثين على إظهار قدرات مآثرهم بسرعة وبشكل نهائي.
إن مكافأة الثغرات التي تقدمها شركة Apple هي مجرد واحدة من العديد من الاستثمارات طويلة الأجل التي تهدف إلى الحد من انتشار نقاط الضعف الخطيرة أو منع استغلالها. على سبيل المثال، بعد أكثر من خمس سنوات من العمل، أعلنت الشركة الشهر الماضي عن حماية أمنية في تشكيلة iPhone 17 الجديدة تهدف إلى إبطال فئة أخطاء iOS الأكثر استغلالًا. تُعد هذه الميزة، المعروفة باسم Memory Integrity Enforcement، بمثابة تغيير كبير يهدف إلى حماية أقلية صغيرة من الفئات الأكثر ضعفًا واستهدافًا بشكل كبير حول العالم – بما في ذلك النشطاء والصحفيين والسياسيين – مع إضافة دفاع لجميع مستخدمي الأجهزة الجديدة أيضًا. ولتحقيق هذه الغاية، أعلنت الشركة يوم الجمعة أنها ستتبرع بألف جهاز iPhone 17 لمجموعات حقوقية تعمل مع الأشخاص المعرضين لخطر مواجهة الهجمات الرقمية المستهدفة.
يقول كرستيتش: “يمكنك القول، حسنًا، إن هذا يبدو وكأنه جهد كبير جدًا لحماية هذا العدد الصغير جدًا من المستخدمين الذين يتم استهدافهم بواسطة برامج التجسس المرتزقة، ولكن هناك فقط هذا السجل الذي لا يقبل الجدل والذي وصفه الصحفيون وشركات التكنولوجيا ومنظمات المجتمع المدني بأن هذه التقنيات يتم إساءة استخدامها باستمرار”. “ونحن نشعر بالتزام أخلاقي كبير بالدفاع عن هؤلاء المستخدمين. وعلى الرغم من حقيقة أن الغالبية العظمى من مستخدمينا لن يتم استهدافهم أبدًا بأي شيء من هذا القبيل، فإن هذا العمل الذي قمنا به سينتهي به الأمر إلى زيادة الحماية للجميع.”
