Salvador, na Bahia — A Apple ampliou o programa Security Bounty, dobrando o prêmio máximo e anunciando a doação de 1.000 iPhones 17 equipados com Memory Integrity Enforcement a organizações da sociedade civil.
O programa já havia pago mais de US$ 35 milhões a mais de 800 pesquisadores que relataram vulnerabilidades, segundo a empresa. A Apple descreveu o novo teto como “um valor sem precedentes no setor” e o maior oferecido por qualquer programa de recompensas.
O que mudou
Entre as novas premiações estão:
- US$ 2 milhões por uma cadeia de exploits de software que possa ser usada por spyware;
- US$ 1 milhão por acesso não autorizado amplo ao iCloud;
- US$ 100.000 para desvio completo do Gatekeeper;
- Até US$ 300.000 para escapes de sandbox do WebKit com um clique;
- Até US$ 1 milhão por explorações de proximidade sem fio em qualquer rádio;
- Um sistema de bônus adicional que pode elevar a premiação acima de US$ 5 milhões.
A empresa também lançou a ferramenta Target Flags, pensada para que pesquisadores testem objetivamente se certas categorias de falhas — como execução remota de código ou problemas de privacidade — são exploráveis. Relatórios gerados com essa ferramenta passam a ter prioridade nas premiações, inclusive antes de serem liberadas correções.
“Estamos nos preparando para pagar muitos milhões de dólares aqui”, disse Ivan Krstić, vice‑presidente de engenharia e arquitetura de segurança da Apple, à Wired.
Por que isso importa? Porque, na prática, pagar mais por bugs críticos e distribuir aparelhos com proteções extras é uma forma de reduzir a chance de que falhas descobertas acabem nas mãos de quem quer monitorar ou atacar ativistas, jornalistas e outras pessoas em risco.
As mudanças no programa e as novas regras de premiação entram em vigor em novembro de 2025, com detalhes disponíveis no site Apple Security Research.
