Известная команда специалистов по кибербезопасности Mysk официально объявила о прекращении сотрудничества с программой по поиску уязвимостей Apple Security Bounty. Исследователи, которые на протяжении долгого времени находили и передавали в Купертино информацию о критических ошибках в операционных системах iOS и macOS, заявили, что их терпение лопнуло.
Как работает Apple Security Bounty
Программы «баг-баунти» существуют в большинстве крупных ИТ-компаний: любой технический специалист может сообщить корпорации о найденной уязвимости и получить за это денежное вознаграждение. Сумма выплаты зависит от критичности проблемы. Например, в Apple за обнаружение цепочек эксплойтов, не требующих взаимодействия с пользователем (zero-click), обещают до двух миллионов долларов, а с учётом бонусов сумма может достигать и пяти миллионов.
Однако на практике программа работает далеко не так гладко. В последнее время независимые исследователи всё чаще жалуются на бюрократию и непрозрачность процессов. Заявки могут рассматриваться до полугода, компания практикует «тихие патчи» (исправление уязвимости без уведомления автора находки), в одностороннем порядке снижает размер выплат или вовсе отказывается платить. Показательным стал случай с «Лабораторией Касперского»: когда российские специалисты передали Apple данные о четырёх уязвимостях нулевого дня, использовавшихся для шпионажа за сотрудниками и дипломатами, корпорация отказалась выплачивать вознаграждение, сославшись на внутренние политики.
Конфликт вокруг CVE-2026-28910
С командой Mysk произошла схожая ситуация. В середине октября прошлого года исследователи отправили в Apple детальный отчёт о серьёзной уязвимости в приложении «Утилита архивирования» для macOS, которая позволяла злоумышленникам обходить «песочницу» системы и перехватывать данные из Signal и 1Password.
Спустя долгие месяцы рассмотрения Apple всё же подтвердила наличие проблемы, выпустила патчи и присвоила уязвимости идентификатор CVE-2026-28910. Однако в выплате вознаграждения специалистам Mysk было отказано – корпорация заявила, что кто-то другой уже присылал отчёт об этой ошибке ранее. Не согласившись с таким решением, команда приняла решение публично выйти из программы.
Эффективность работы Mysk
Потеря таких специалистов – серьёзный удар по безопасности экосистемы Apple. Команда Mysk регулярно находила действительно критические недоработки. Так, именно они первыми обнаружили серьёзную уязвимость в новом приложении «Пароли», которое появилось в iOS 18.
Тогда исследователи выяснили, что менеджер паролей по умолчанию использовал незащищённый протокол HTTP для загрузки логотипов сайтов и открытия страниц сброса паролей. Это оставляло пользователей уязвимыми для фишинговых атак: злоумышленник в публичной сети Wi-Fi мог перехватить запрос и перенаправить жертву на поддельный сайт для кражи учётных данных. Проблема оставалась актуальной почти три месяца, пока Apple не исправила её в обновлении iOS 18.2.
Продолжат ли исследователи искать дыры в продуктах Apple – пока неизвестно. Но если они это сделают, перед корпорацией встаёт неприятный вопрос: куда отправятся эти данные? На чёрном рынке стоимость одного критического эксплойта для iPhone легко исчисляется миллионами долларов, и брокеры уязвимостей, в отличие от официальных вендоров, платят быстро и без лишних споров.
