Apple платит больше, чем чёрный рынок: $2 млн за уязвимость без единого клика

Компания Apple решила серьёзно повысить интерес исследователей безопасности к поиску уязвимостей в своих продуктах. В октябре 2025 года она объявила о двукратном увеличении максимальной выплаты по программе Apple Security Bounty - теперь за наиболее серьёзные находки можно получить до 2 млн долларов. Это делает Apple одним из самых щедрых игроков на рынке программ Bug Bounty и задаёт новую планку для всей отрасли.

Как работает программа Apple Security Bounty

Программа поощрения за найденные уязвимости существует у Apple с 2020 года. За пять лет компания выплатила более $35 млн свыше 800 исследователям, помогавшим находить слабые места в экосистеме iOS, macOS, iPadOS и других сервисах. Новая шкала вознаграждений расширяет категории атак и увеличивает суммы почти по всем направлениям.

"Мы хотим, чтобы эксперты по безопасности могли зарабатывать достойно, защищая пользователей Apple, а не продавая найденные уязвимости на чёрном рынке", — заявили в компании.

Новая система вознаграждений

Главное изменение — увеличение максимальной выплаты с 1 до 2 миллионов долларов. Эта сумма предназначена для исследователей, обнаруживших Zero-click-атаки — такие, где взлом происходит без какого-либо взаимодействия со стороны пользователя.

Обновлённые категории выплат

Таким образом, Apple теперь не только вознаграждает критические находки, но и стимулирует исследователей сообщать о мелких недочётах — чтобы закрывать их на ранних этапах.

Почему это важно

Повышение выплат отражает растущее внимание Apple к превентивной безопасности. Атаки без кликов (zero-click) считаются наиболее опасными, поскольку позволяют злоумышленнику заразить устройство без участия пользователя — достаточно просто получить сообщение или уведомление. Такие уязвимости часто используются в шпионском ПО уровня Pegasus.

Теперь Apple фактически заявляет, что готова заплатить больше, чем могут предложить серые и чёрные рынки, — чтобы информация о брешьах попадала напрямую к разработчикам, а не к хакерам.

Советы шаг за шагом: как подать отчёт в Apple Security Bounty

1. Изучите правила - они опубликованы на официальном сайте Apple Security Bounty.

2. Подготовьте отчёт - укажите все детали: версию ОС, устройство, шаги для воспроизведения, ожидаемое и фактическое поведение.

3. Не используйте эксплойт публично - Apple требует этичного раскрытия (responsible disclosure).

4. Отправьте отчёт на security@apple.com с темой "Security Bounty Submission".

5. Дождитесь подтверждения - Apple связывается с автором в течение нескольких недель и оценивает уникальность и серьёзность уязвимости.

6. Получите выплату - в случае признания отчёта валидным выплата производится напрямую, а исследователь упоминается в зале славы Apple Security Researchers.

Ошибка → Последствие → Альтернатива

1. Ошибка: публично опубликовать найденную уязвимость до ответа Apple.
   Последствие: дисквалификация и возможные юридические последствия.
   Альтернатива: ответственное раскрытие через официальный канал.

2. Ошибка: отправлять неполные или не воспроизводимые отчёты.
   Последствие: отказ в выплате или низкая оценка критичности.
   Альтернатива: прикладывать скриншоты, логи, PoC-код, описывать контекст.

3. Ошибка: не проверять, относится ли уязвимость к продуктам Apple.
   Последствие: время потрачено зря.
   Альтернатива: использовать список поддерживаемых систем и сервисов на bounty. apple.com.

А что если…

…исследователь найдёт уязвимость, уже известную Apple?

Компания всё равно может выплатить вознаграждение, если отчёт содержит новые детали, улучшает воспроизведение или описывает смежную брешь. Решение принимает внутренняя комиссия.

…уязвимость затрагивает устройства сторонних производителей?

Если она связана с компонентами, встроенными в экосистему Apple (например, Bluetooth или WebKit), отчёт может быть принят в рамках программы.

…одну брешь нашли два человека?

Выплата делится между исследователями, если оба независимо сообщили об одном и том же.

Таблица "Плюсы и минусы"

FAQ

1. Кто может участвовать в Apple Security Bounty?

Любой исследователь, независимо от гражданства и профессии, если соблюдает правила ответственного раскрытия.

2. Выплачивает ли Apple за найденные баги в бета-версиях?

Да, если уязвимость сохраняется и в стабильных релизах или угрожает пользователям.

3. Как долго рассматривается отчёт?

В среднем от нескольких недель до двух месяцев, в зависимости от сложности и необходимости проверки на разных устройствах.

4. Публикует ли Apple имена победителей?

Да, в разделе Acknowledgements на официальном сайте безопасности Apple.

Мифы и правда

1. Миф: Apple не платит исследователям.
   Правда: компания уже выплатила более $35 млн, а теперь удвоила максимальные суммы.

2. Миф: только крупные уязвимости приносят деньги.
   Правда: теперь даже мелкие баги с низким риском могут стоить $1000.

3. Миф: выплаты получают только крупные исследовательские фирмы.
   Правда: значительная часть наград идёт независимым энтузиастам.

Исторический контекст

1. В 2016 году Apple запустила закрытую программу по приглашениям.

2. В 2019 году она стала открытой для всех исследователей.

3. В 2020 году проект получил новое имя — Apple Security Bounty.

4. К 2025 году компания выплатила более $35 млн и привлекла сотни экспертов по всему миру.

5. В 2025 году программа вышла на новый уровень, установив рекордные суммы вознаграждений.

Три интересных факта

1. Программа Apple Security Bounty охватывает не только iPhone и macOS, но и такие сервисы, как iCloud, Safari, Siri и даже CarPlay.

2. Apple нередко сотрудничает с исследователями после выплат, предлагая им консультативные контракты.

3. Некоторые специалисты заработали на баунти от Apple суммы, сравнимые с годовым доходом инженеров компании.