Независимый исследователь в области кибербезопасности, так называемый белый хакер, обнаружил критическую уязвимость, которая позволяла получить несанкционированный доступ к данным в iCloud и камере чужих iPhone, однако получил от Apple вознаграждение всего в $1000. Этот случай вызвал новую волну критики в адрес программы Security Bounty, в рамках которой компания поощряет пользователей за поиск ошибок в своих продуктах.
Об этом сообщает издание Macworld.Исследователь под псевдонимом RenwaX23 сообщил, что выявил в браузере Safari уязвимость типа "универсальный межсайтовый скриптинг" (UXSS). Она позволяла злоумышленнику получить данные пользователя и выдать себя за него. В качестве доказательства RenwaX23 продемонстрировал возможность доступа к облачному хранилищу iCloud и приложению камеры на iOS. Опасность ошибки была оценена как критическая с рейтингом 9,8 из 10.
Уязвимость получила идентификатор CVE-2025-30466, и Apple исправила ее еще в марте, выпустив обновления Safari 18.4, iOS 18.4 и macOS 15.4. Несмотря на серьезность найденной "дыры", вознаграждение исследователя составило всего $1000, в то время как максимальные выплаты по программе Apple могут достигать $2 млн.
Столь низкая выплата, пишет Macworld, может быть связана с тем, что для активации уязвимости требовалось слишком много действий со стороны самого пользователя. Официальные правила программы Apple действительно учитывают этот фактор при определении размера вознаграждения.
Тем не менее, многие в сообществе считают решения компании о выплатах произвольными. Другой исследователь рассказал, что за уязвимость, которая, по его мнению, должна была принести $50 000, ему предложили всего $5 000.
Подобные случаи, считают в СМИ, создают впечатление, что Apple, будучи одной из самых богатых компаний в мире, намеренно занижает выплаты специалистам, которые помогают обеспечивать безопасность ее пользователей.
Свежие комментарии