Apple hæver belønningen til 2 millioner USD for 0-klik sårbarheder

Eskil Sørensen

10.14.2025 14:39

Mest lukrative bounty-program til dato.

Apple har annonceret en markant udvidelse af sit bug bounty-program, hvor den maksimale belønning for rapportering af 0-klik remote code execution (RCE)-sårbarheder nu er forhøjet til 2 millioner dollar. Med bonusordninger kan beløbet overstige 5 millioner dollar, hvilket gør det til det mest lukrative bounty-program i branchen.

Det skriver Bleeping Computer.

0-klik RCE-sårbarheder – som ikke kræver brugerinteraktion – er særligt attraktive for aktører bag mercenary spyware, og Apple ønsker med det nye program at motivere ansvarlig rapportering af netop disse sårbarheder. Apple har tidligere udbetalt op til 500.000 dollar pr. rapport, men med det nye program er beløbene fordoblet eller mere.

“Dette er det højeste beløb, vi kender til i branchen,” udtaler Apple. “Bonusser for Lockdown Mode-bypasses og fund i beta-software kan mere end fordoble belønningen.”

Nye og opdaterede kategorier for belønninger

Apple har offentliggjort en række belønningsniveauer for forskellige typer sårbarheder:

0-klik RCE: 2.000.000 dollar
1-klik remote attack: 1.000.000 dollar
Wireless proximity attack: 1.000.000 dollar
Uautoriseret bred adgang til iCloud: 1.000.000 dollar
WebKit exploit chain med kodeeksekvering: 1.000.000 dollar
Fysisk adgang til låst enhed: 500.000 dollar
App sandbox escape: 500.000 dollar
WebKit sandbox escape (one-click): 300.000 dollar
macOS Gatekeeper bypass uden brugerinteraktion: 100.000 dollar
Lavrisiko rapporter: 1.000 dollar “encouragement award”

Apple bemærker, at der aldrig er indsendt en rapport, der demonstrerer en fuld Gatekeeper-bypass uden brugerinteraktion eller bred uautoriseret adgang til iCloud – hvilket gør disse kategorier særligt interessante for researchere.

Udvider civilsamfundsindsats

Programmet inkluderer nu også Apples egne chips, herunder C1/C1X-modemer og N1 wireless chip, som kan være mål for proximity-angreb.

I 2026 vil Apple distribuere 1.000 sikrede iPhone 17-enheder til civilsamfundsorganisationer med høj risiko for spywareangreb. Disse enheder vil også indgå i Apples Security Research Device Program, som forskere kan ansøge om inden 31. oktober.

Apple håber, at de forhøjede belønninger vil modvirke udviklingen af avancerede spyware-kæder ved at gøre ansvarlig rapportering mere attraktiv end salg til offensive aktører. Samtidig styrker Apple sine forsvarsmekanismer med funktioner som Lockdown Mode og Memory Integrity Enforcement, der øger kompleksiteten og omkostningerne ved stealth-angreb.

Læs mere

https://www.bleepingcomputer.com/news/security/apple-now-offers-2-million-for-zero-click-rce-vulnerabilities/

Information