
Apple обещает вознаграждения до $2 млн тем, кто нашел серьезные баги. Разработчик надеялся разбогатеть, но за обнаруженную критическую уязвимость получил какую-то $1000.
Речь идет о типе уязвимости Universal Cross-Site Scripting (UXSS). С его возможностью злоумышленник может выдавать себя за пользователя для получения доступа к его приватным данным. Пользователь RenwaX23 выяснил, как с помощью UXSS можно добраться до iCloud и даже Камеры в iOS.
Apple признала баг очень серьезным — ему предоставили оценку серьезности 9,8 из 10. Критическую уязвимость зарегистрировали как CVE-2025-30466 и выпустили патч в марте с Safari 18.4, которое вышло вместе с iOS/iPadOS 18.4 и macOS 15.4. Проблему исправили и хорошо, но компания «зажала» щедрое вознаграждение тому, кто нашел проблему — всего $1000.
В 2022 году Apple обновила свою программу вознаграждений, в рамках которой обычно платит $40 000. Отдельные критические уязвимости уже принесли разработчикам шестизначные суммы, например, $175 000 заработал студент, который нашел способ захватить камеры Mac и iPhone.
Но с первого взгляда непонятно, почему сейчас компания выплатила настолько мало. Вероятно причина в том, что для использования уязвимости злоумышленнику надо было заставить пользователя что-то нажать или открыть. То есть требовалось определенное неочевидное взаимодействие. Из-за такого Apple часто снижает размер вознаграждения. Хотя даже с учетом этого — разница между оценкой 9,8/10 и выплатой в $1000 вызывает вопросы.
Такое случается не впервые. Другие исследователи безопасности уже рассказывали, что получали лишь $5000 вместо ожидаемых $50 000. Слишком низкие выплаты могут заставить энтузиастов продавать находки на черном рынке, где за критические уязвимости для iOS или macOS предлагают суммы в миллионы долларов. Потому что проще отдать информацию хакерам за солидную сумму, чем честно поделиться ею с корпорацией, которая ищет возможности выплатить меньше обещанного. Даже некоторые разработчики воруют внутреннюю документацию, чтобы использовать ее в своих целях.
Источник: 9to5mac
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: