Apple объявила о масштабном обновлении своей программы поощрения за найденные уязвимости, удвоив максимальную выплату за обнаружение критических багов и расширив список уязвимостей, подлежащих вознаграждению. Теперь исследователи в области ИБ смогут получить до 2 млн долларов за уязвимость, позволяющую провести удалённую атаку без какого-либо взаимодействия со стороны пользователя — так называемые zero-click RCE. С учётом бонусов общая сумма может превысить 5 млн долларов — рекорд в индустрии.
Компания представила обновлённую структуру выплат в рамках программы Apple Security Bounty. С момента запуска в 2020 году Apple уже выплатила более 35 млн долларов 800 специалистам, а отдельные отчёты ранее оценивались до 500 тыс. долларов. Теперь же ставки выросли многократно.
В Apple уточнили, что дополнительно к основной выплате предусмотрена система бонусов: вознаграждения увеличиваются за обнаружение уязвимостей в бета-версиях ОС, за баги, связанные с обходом Lockdown Mode, а также за цепочки атак, охватывающие несколько компонентов.
В рамках обновлённой схемы также введены или увеличены следующие категории вознаграждений:

удалённая атака с участием пользователя (1 click) — до 1 млн долларов;
атака с близкого расстояния по беспроводным каналам — до 1 млн долларов;
компрометация iCloud с широким несанкционированным доступом — до 1 млн долларов;
цепочка эксплойтов WebKit с запуском неподписанного кода — до 1 млн долларов;
атака на заблокированное устройство при физическом доступе — до 500 тыс. долларов;
выход приложения за пределы песочницы — до 500 тыс. долларов;
выход из песочницы WebKit с одним кликом — до 300 тыс. долларов;
полный обход Gatekeeper в macOS без участия пользователя — до 100 тыс. долларов;
символическая премия в 1000 долларов за слабые, но обоснованные отчёты.

Компания Apple заявила, что компания пока ни разу не получала полноценного отчёта о полном обходе Gatekeeper без взаимодействия пользователя или масштабной компрометации iCloud. Также в Apple уточнили, что не фиксировали успешных атак категории Wireless Proximity, то есть zero-click атак с использованием исключительно беспроводных протоколов.
Категория Wireless Proximity теперь включает не только Wi-Fi и Bluetooth, но и фирменные чипы Apple — модемы C1, C1X и чип N1, что значительно расширяет область интереса для исследователей.
В рамках продвижения культуры защиты данных Apple также объявила, что в 2026 году распределит 1000 специально защищённых iPhone 17 среди представителей гражданского общества, находящихся в зоне повышенного риска — правозащитников, журналистов, общественных активистов. Эти устройства также будут участвовать в Apple Security Research Device Program, на которую приём заявок открыт до 31 октября 2025 года.
В компании ожидают, что столь резкое увеличение выплат усилит конкуренцию за поиск сложных уязвимостей и снизит интерес к продаже эксплойтов частным компаниям, разрабатывающим шпионское ПО. Стимулирование прозрачных отчётов и усиление исследовательской инициативы Apple называет одной из стратегических задач в области киберустойчивости.