Apple исправила критическую уязвимость, но нашедший ее разработчик получил лишь $1000

Разработчик под псевдонимом RenwaX23 обнаружил опасную брешь в безопасности Apple — тип Universal Cross-Site Scripting (UXSS), с помощью которой потенциальный злоумышленник мог получить доступ к конфиденциальным данным пользователя, включая содержимое iCloud и даже камеры устройства.

Несмотря на высокую степень угрозы, Apple оценила работу всего в $1000 — хотя в рамках своей программы поощрений компания обещает вознаграждения до $2 миллионов.

Уязвимость получила идентификатор CVE-2025-30466, а ее опасность специалисты Apple оценили в 9.8 балла из 10. Проблема была устранена в марте 2025 года с выпуском Safari 18.4, одновременно с iOS/iPadOS 18.4 и macOS 15.4. Несмотря на признание проблемы критической, вознаграждение оказалось минимальным.

Программа Apple Security Bounty, обновленная в 2022 году, обычно предусматривает выплаты от $40 000 за подобные уязвимости. Ранее за действительно серьезные находки Apple платила до $175 000 — именно столько получил студент, обнаруживший способ дистанционного захвата камеры на устройствах компании.

Хотя компания не комментирует детали оценки, предполагается, что сниженная сумма связана с тем, что для эксплуатации уязвимости требовалось участие пользователя — например, клик по ссылке или открытие вредоносной страницы. В таких случаях Apple часто урезает выплаты, несмотря на общий уровень угрозы.