A Apple anunciou uma atualização em seu programa de bug bounty, elevando os valores pagos por vulnerabilidades críticas que permitem ataques zero-click — aqueles que não exigem nenhuma interação do usuário. A mudança vem após o aumento no uso dessas falhas por grupos avançados de espionagem, que exploram brechas em aplicativos como o iMessage e o FaceTime para comprometer dispositivos de forma silenciosa.
Com o novo modelo, a Apple passará a pagar até 2,5 milhões de dólares por falhas que permitam execução de código remoto sem interação do usuário, um dos maiores valores já oferecidos na indústria. A empresa afirmou que o objetivo é atrair pesquisadores de segurança para seu ecossistema e fortalecer a detecção de vulnerabilidades antes que sejam exploradas por cibercriminosos.
Nos últimos anos, ataques zero-click se tornaram uma das técnicas mais perigosas e sofisticadas, frequentemente usadas em campanhas de espionagem contra jornalistas, executivos e membros de governos. Esses ataques exploram falhas invisíveis em serviços que estão sempre ativos no sistema, como o AirDrop e o iMessage, permitindo o acesso total ao dispositivo sem que o usuário perceba.
A decisão da Apple reforça a importância de parcerias com a comunidade de segurança e sinaliza um avanço na transparência da empresa, historicamente criticada por restringir o acesso a detalhes técnicos sobre falhas e pesquisas independentes.
Dica de prevenção:
Mesmo com medidas da Apple, usuários e empresas devem manter dispositivos sempre atualizados, desativar recursos que não são usados (como o iMessage corporativo) e implementar políticas de segurança móvel. Organizações que utilizam dispositivos Apple devem também incluir testes de segurança e auditorias regulares em seus programas de proteção digital.
Investir em prevenção é mais eficaz que reagir a um incidente. Para proteger seus dispositivos e dados corporativos, conheça as soluções da LC SEC, que incluem Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização e Plano Diretor de Segurança em lcsec.io.