Программа Apple Security Bounty существует уже шесть лет и призвана поощрять специалистов по безопасности, находящих уязвимости в продуктах компании. Теоретически за особо серьёзные дыры можно получить до $2 млн. Однако на практике суммы часто вызывают недоумение даже у самих участников.
Исследователь под псевдонимом RenwaX23 опубликовал информацию о том, как сообщил Apple об опасной уязвимости в Safari — универсальном XSS-эксплойте (UXSS), позволяющем злоумышленнику подделывать действия пользователя и получать доступ к данным. В своём примере он показал, что с помощью этой дыры можно было получить доступ к iCloud и камере в iOS.
Уязвимость получила официальный номер CVE-2025-30466 и была оценена как критическая, с баллом 9,8 из 10. Apple устранила проблему в марте в версии Safari 18.4 (обновление iOS/iPadOS 18.4 и macOS 15.4). Однако награда за такую находку составила всего $1000.
Почему так мало? Согласно политике Apple, при определении размера вознаграждения учитывается не только серьёзность уязвимости, но и насколько легко её можно воспроизвести, а также степень вовлечённости пользователя. В данном случае, как отметил один из участников обсуждения, для активации эксплойта требуется «слишком много действий от пользователя» — и это, по мнению Apple, снижает опасность.
Кроме того, Apple учитывает, насколько хорошо составлен отчёт, сколько пользователей потенциально затронуто, какой доступ открывает уязвимость и сколько работы потребуется инженерам.
Но среди исследователей растёт недоверие к системе оценки. Один из пользователей рассказал, что нашёл уязвимость, попадавшую под категорию с выплатой до $50 000, но получил всего $5000 — без объяснений. Такие случаи создают ощущение произвола.
Исследователи безопасности тратят часы и дни на поиски уязвимостей, делая системы Apple безопаснее. Но при таких выплатах компания выглядит скупой — особенно учитывая её масштаб и доходы.
Все устранённые уязвимости публикуются на официальном сайте в разделе Security Releases. Там можно найти номер CVE и имя автора каждой находки — в том числе тех, кто работает за скромные «премии» ради общей безопасности.
Ещё по теме:
- В России создан крупнейший бенчмарк AmbiK для проверки, насколько хорошо роботы распознают бытовые просьбы
- Apple и другие ИТ-гиганты поддержали правительственную программу цифровизации здравоохранения
- Microsoft назвала профессии, которые быстрее всего заменятся ИИ
