Apple обіцяє винагороди до $2 млн тим, хто знайшов серйозні баги. Розробник сподівався розбагатіти, але за виявлену критичну вразливість отримав якісь $1000.

Йдеться про тип вразливості Universal Cross-Site Scripting (UXSS). З його можливістю зловмисник може видавати себе за користувача для отримання доступу до його приватних даних. Користувач RenwaX23 з’ясував, як за допомогою UXSS можна дістатися до iCloud і навіть Камери в iOS.

Apple визнала баг дуже серйозним — йому надали оцінку серйозності 9,8 з 10. Критичну вразливість зареєстрували як CVE-2025-30466 та випустили патч в  березні з Safari 18.4, яке вийшло разом з iOS/iPadOS 18.4 та macOS 15.4. Проблему виправили і добре, але компанія “зажала” щедру винагороду тому, хто знайшов проблему — лише $1000. 

У 2022 році Apple оновила свою програму винагород, в межах якої зазвичай платить $40 000. Окремі критичні вразливості вже принесли розробникам шестизначні суми, наприклад, $175 000 заробив студент, який знайшов спосіб захопити камери Mac і iPhone.

Але з першого погляду незрозуміло, чому наразі компанія виплатила настільки мало. Ймовірно причина в тому, що для використання вразливості зловмиснику треба було змусити користувача щось натиснути або відкрити. Тобто була потрібна певна неочевидна взаємодія. Через таке Apple часто знижує розмір винагороди. Хоча навіть з урахуванням цього — різниця між оцінкою 9,8/10 і виплатою в $1000 викликає питання.

Таке трапляється не вперше. Інші дослідники безпеки вже розповідали, що отримували лише $5000 замість очікуваних $50 000. Надто низькі виплати можуть змусити ентузіастів продавати знахідки на чорному ринку, де за критичні вразливості для iOS чи macOS пропонують суми у мільйони доларів. Бо простіше віддати інформацію хакерам за солідну суму, аніж чесно поділитися нею з корпорацією, яка шукає можливості виплатити менше обіцяного. Навіть деякі розробники крадуть внутрішню документацію, щоб використати її в своїх цілях. 

Джерело: 9to5mac