A Apple incentiva os pesquisadores de segurança a pesquisar e relatar a vulnerabilidade em seus dispositivos e aplicativos, em troca dos quais pagam US $ 2 milhões.
No entanto, um pesquisador de segurança que relatou uma vulnerabilidade de maçã Safari classificada como crítica e deu uma pontuação de gravidade de 9,8 em 10, reivindicações de receber apenas US $ 1.000 …
A Apple atualizou seu programa de corte de segurança em 2022 e declarou que seu pagamento médio era de US $ 40.000 e que, em vinte ocasiões, ele pagou uma quantia de seis dígitos por “problemas de alto impacto”. Isso incluiu um pagamento total de US $ 175 mil a um aluno que passou com sucesso nas câmeras Mac e iPhone.
No entanto, a MacWorld relata que um pesquisador que encontrou um buraco crítico de segurança no Safari recebeu apenas US $ 1.000.
Um pesquisador que vai do Renwax23 em X publicado nos tamanhos recebidos pelo que parece ser um buraco crítico de segurança. Encontrado no Safari, o buraco é uma vulnerabilidade universal dos sites de scripts (UXSS), um tipo em que um invasor pode se passar por um usuário e acessar seus dados. Nesse caso, o Renwax23 mostrou que o furo pode ser usado para acessar o aplicativo iCloud e a câmera iOS.
A vulnerabilidade foi classificada como crítica, com uma pontuação de 9,8 (em uma escala de 10), por isso não era um pequeno bug. Registrado como CVE-2025-30466, a Apple o definiu no Safari 18.4, lançado com iOS/iPados 18.4 e MacOS 15.4 atualizados em março. Renwax23 recebeu uma comissão para a descoberta de bugs, US $ 1.000 miseráveis.
Uma possível explicação é que um invasor deve enganar um usuário para ativar a ação antes de poder usar a exploração. A Apple afirma que a interação do usuário é um dos critérios usados para determinar os tamanhos.
No entanto, outro pôster disse que uma vulnerabilidade que descobriu, que ele deveria ter atraído um pagamento de US $ 50.000, de acordo com os critérios da Apple, os viu receber apenas US $ 5.000.
9to5mac de opinião
Pode ser que a opinião da Apple sobre o risco de exploração da vida real fosse precisa e que apenas um pagamento de US $ 1.000 fosse apropriado. No entanto, parece que há uma grande lacuna entre a avaliação da gravidade da Apple e a quantidade oferecida.
O perigo de pagamentos muito baixos é que ele pode incentivar aqueles que descobrem vulnerabilidades a vendê -los no Blackmarket, em vez de denunciá -los à Apple. Os pagamentos por vulnerabilidades críticas podem chegar a US $ 5 milhões no caso de empresas que desejam explorá -las para invadir os dispositivos da Apple.
Acessórios destacados
Foto de Josh Appel no USplash
FTC: Usamos conexões de afiliação automática para obter renda. Além disso.
