Apple виправила критичну вразливість, але розробник, що її виявив, отримав лише $1000

Розробник під псевдонімом RenwaX23 виявив небезпечну вразливість у безпеці Apple — тип Universal Cross-Site Scripting (UXSS), за допомогою якої потенційний зловмисник міг отримати доступ до конфіденційних даних користувача, включаючи вміст iCloud і навіть камери пристрою.

Незважаючи на високий рівень загрози, Apple оцінила роботу всього в $1000 — хоча в рамках своєї програми заохочень компанія обіцяє винагороди до $2 мільйонів.

Вразливість отримала ідентифікатор CVE-2025-30466, а її небезпеку фахівці Apple оцінили у 9.8 бала з 10. Проблема була усунена у березні 2025 року з випуском Safari 18.4, одночасно з iOS/iPadOS 18.4 та macOS 15. Незважаючи на визнання проблеми критичної, винагорода виявилася мінімальною.

Програма Apple Security Bounty, оновлена в 2022 році, зазвичай передбачає виплати від $40 000 за такі вразливості. Раніше за справді серйозні знахідки Apple платила до $175 000 — саме стільки отримав студент, який виявив спосіб дистанційного захоплення камери на пристроях компанії.

Хоча компанія не коментує деталі оцінки, передбачається, що знижена сума пов'язана з тим, що для експлуатації вразливості потрібна участь користувача — наприклад, клік посилання або відкриття шкідливої сторінки. У таких випадках Apple часто урізує виплати, незважаючи на загальний рівень загрози.