Apple Security Bounty entra in una nuova fase. Dal prossimo novembre 2025, il programma di bug bounty di Cupertino offrirà le ricompense più alte dell’intero settore, con nuovi criteri di valutazione, categorie ampliate e un sistema di verifica più trasparente per i ricercatori di sicurezza.
Dal suo lancio nel 2020, Apple ha già distribuito oltre 35 milioni di dollari a più di 800 ricercatori, con singole segnalazioni premiate fino a 500.000 dollari. Con l’aggiornamento annunciato, l’azienda intende stimolare la ricerca sui vettori d’attacco più complessi e sui sistemi di difesa introdotti negli ultimi anni.
Premi record e nuove categorie di vulnerabilità
Il nuovo tetto massimo salirà a 2 milioni di dollari per le catene di exploit “zero-click” capaci di ottenere risultati paragonabili a quelli degli spyware mercenari. Con i bonus previsti per le segnalazioni che aggirano la Lockdown Mode o riguardano software in beta, il totale potrà superare i 5 milioni di dollari.
Molti altri premi verranno aumentati o raddoppiati. Tra gli esempi:
- 100.000 dollari per un bypass completo di Gatekeeper su macOS.
- 1 milione di dollari per un accesso non autorizzato ad iCloud, un exploit mai realizzato finora.
- Fino a 300.000 dollari per attacchi “one-click” in grado di evadere la sandbox di WebKit.
- Fino a 1 milione di dollari per attacchi tramite radio wireless o prossimità fisica.
Apple ha anche chiarito che i premi più alti verranno riconosciuti alle catene di exploit complete, ossia a sequenze di vulnerabilità capaci di replicare attacchi reali, piuttosto che a singoli bug teorici.
Target Flags: prove oggettive per premi immediati
Una delle novità più interessanti è il sistema dei Target Flags, un meccanismo che consente ai ricercatori di dimostrare in modo oggettivo il livello di compromissione raggiunto (ad esempio controllo dei registri, esecuzione di codice, lettura/scrittura arbitraria).
Questi flag, ispirati alle competizioni “capture the flag”, permetteranno ad Apple di verificare automaticamente l’exploit e liquidare la ricompensa prima ancora della pubblicazione della patch, premiando la rapidità e la trasparenza della ricerca.
Il sistema sarà disponibile su tutte le piattaforme Apple — iOS, iPadOS, macOS, visionOS, watchOS e tvOS — e verrà esteso progressivamente ad altre aree del programma.
Focus su Lockdown Mode, Memory Integrity Enforcement e difese avanzate
Negli ultimi anni, Apple ha rafforzato la sicurezza dei propri dispositivi con funzioni come Lockdown Mode, la nuova architettura di sicurezza del browser Safari e la Memory Integrity Enforcement, introdotta con la serie iPhone 17.
Queste misure rendono molto più difficile costruire exploit funzionanti, tanto che le uniche minacce osservate “in the wild” sono catene di attacco estremamente sofisticate attribuite a gruppi legati a governi o spyware mercenari.
Per incentivare la ricerca su queste aree, Apple assegnerà i premi più consistenti proprio a chi riuscirà a dimostrare vulnerabilità paragonabili agli attacchi di livello statale.
Iniziative per il 2026: iPhone 17 per la società civile
Proseguendo nella sua politica di responsabilità sociale, Apple ha annunciato un’iniziativa rivolta alle organizzazioni che difendono attivisti e giornalisti a rischio. L’azienda fornirà mille iPhone 17 con le massime protezioni di sicurezza a gruppi che operano contro lo spyware mercenario, proseguendo la linea avviata nel 2022 con la donazione da 10 milioni di dollari destinata alle ONG del settore.
In parallelo, il Security Research Device Program 2026 includerà i nuovi iPhone 17 e resterà aperto ai ricercatori con esperienza documentata su qualunque piattaforma. Tutte le vulnerabilità scoperte su questi dispositivi riceveranno priorità nei premi del programma Apple Security Bounty.
Una strategia per restare avanti alle minacce reali
Con oltre 2,35 miliardi di dispositivi attivi nel mondo, Apple riconosce che le proprie piattaforme sono obiettivi di alto valore per i cybercriminali. L’evoluzione del programma di bug bounty rappresenta quindi non solo un incentivo economico, ma anche una strategia per rafforzare la collaborazione con la comunità di ricerca e mantenere un vantaggio sui gruppi di attacco più avanzati.
Il nuovo regolamento sarà pubblicato a novembre sul sito Apple Security Research, con l’elenco completo delle categorie, i nuovi importi e le istruzioni per usare i Target Flags. Fino ad allora, tutte le segnalazioni verranno valutate secondo il vecchio e il nuovo schema, e verrà riconosciuto il premio più alto tra i due.
Apple punta così a un obiettivo chiaro: premiare il valore reale della ricerca, incoraggiare la trasparenza e continuare a rendere i suoi dispositivi tra i più sicuri al mondo.
