Editor Top
Los investigadores de seguridad desempeñan un papel crucial en el desarrollo de software, identificando y descubriendo vulnerabilidades. Es muy importante que Apple Security Research ejecute un programa de recompensas de seguridad que ofrece pagos a los investigadores para sus descubrimientos. Dependiendo de la gravedad de la vulnerabilidad, un investigador puede ganar hasta $ 2 millones para detectar un error, pero, como muestra un investigador, la percepción de gravedad de Apple no siempre tiene sentido.
Un investigador que pasa por RenWax23 en X publicó sobre la recompensa recibida por lo que parece ser un agujero de seguridad crítico. Encontrado en Safari, el agujero es una vulnerabilidad universal de secuencias de comandos entre sitios (UXSS), un tipo donde un atacante puede hacerse pasar por un usuario y acceder a sus datos. En este caso, RenWax23 demostró que el orificio se puede usar para acceder a iCloud y la aplicación de la cámara iOS. La vulnerabilidad se calificó como crítica con una puntuación de 9.8 (en una escala de 10), por lo que no fue un pequeño error.
Grabado como CVE-2025-30466, Apple lo fijó en Safari 18.4, que se lanzó con la actualización iOS/iPados 18.4 y MacOS 15.4 en marzo. RenWax23 recibió una tarifa por el descubrimiento de errores, un miserable $ 1,000.
¿Por qué el bajo pago? Algunos que respondieron a la publicación de RenWax23 creen que es porque Apple considera la facilidad con la que un usuario podría encontrar la vulnerabilidad. En este caso, «se necesita demasiada interacción del usuario», como dice Gergely_kalman, para activar el exploit. El sitio web de Apple establece que la interacción del usuario requerida es parte de los criterios para determinar las recompensas, junto con el número de usuarios afectados, el nivel de acceso, qué tan bien se escribe el informe (lo que afecta cuánto trabajo debe hacer Apple) y otros factores.
El sitio web de Apple también proporciona tipos de vulnerabilidades, escalas de pago y ejemplos, pero como otro póster en el hilo, Taiko_Soup, señala, las decisiones de Apple parecen arbitrarias. Taiko_soup descubrió una vulnerabilidad que parecía tener un pago de $ 50,000, pero se le ofreció $ 5,000.
Los investigadores de seguridad pasaron varias largas horas para encontrar agujeros e informarlos para que los usuarios puedan tener un software más seguro. Parece haber una falta de perspectiva sobre la parte de Apple para compensar a los investigadores adecuadamente por el trabajo que realizan. No se ve bien cuando una empresa tan grande como Apple Lowballs sus pagos.
Cuando Apple publica actualizaciones del sistema operativo, como la reciente actualización de MacOS Sequoia 15.6, incluir varias correcciones de seguridad, como se detalla en THE Sitio web de Apple Security lanza. En ese sitio, Apple enumera los problemas que se abordaron, y si observa cada entrada específica, verá algo llamado número CVE (que se refiere al registro mantenido en la base de datos de vulnerabilidades y exposiciones comunes) y el nombre de una persona o grupo. Ese nombre es un investigador que descubrió la vulnerabilidad.
