O programa de recompensas da Apple para pesquisadores de segurança foi completamente reformulado, com os valores pagos sendo dobrados para as descobertas de vulnerabilidades mais críticas. Até US$ 2 milhões agora são oferecidos pela companhia por falhas do tipo “zero-click”, que permitem a invasão de um dispositivo sem qualquer interação da vítima.

A medida, anunciada no último domingo (12), é vista como uma estratégia direta para competir com o mercado de spyware comercial, onde falhas de segurança são vendidas por milhões de dólares a governos e agências de inteligência.

Novos Valores e Bônus Generosos

A nova escala de pagamentos foi redesenhada para refletir a sofisticação dos ataques atuais. Além do prêmio de US$ 2 milhões, outros valores foram reajustados:

• Exploits de um clique: US$ 1 milhão (antes US$ 250 mil).
• Bypass do Modo de Bloqueio (Lockdown Mode): Bônus adicional de US$ 1 milhão.

Um generoso sistema de multiplicadores também foi implementado. Falhas encontradas em versões beta do iOS, por exemplo, recebem um bônus de 50%. Com a combinação de bônus, mais de US$ 5 milhões podem ser pagos a um único pesquisador por uma descoberta complexa.

Sistema “Target Flags” Agiliza Pagamentos

Uma inovação técnica chamada “Target Flags” também foi introduzida. O sistema, que é integrado aos sistemas operacionais da Apple, permite que a comprovação de uma invasão seja feita de forma automática pelo pesquisador. Com isso, o processo de validação e pagamento, que antes podia levar meses, agora é drasticamente acelerado, com a recompensa sendo paga em questão de semanas.

Olhando para o futuro, foi anunciado pela Apple que 1.000 unidades do iPhone 17 serão distribuídas a pesquisadores em 2026, com foco na caça de spyware. (Os detalhes técnicos podem ser encontrados no blog de segurança da Apple).