Команда специалистов по информационной безопасности Mysk объявила о прекращении сотрудничества с Apple в рамках раскрытия уязвимостей после отказа компании выплатить вознаграждение за обнаруженную ранее критическую ошибку в macOS. Об этом Mysk объявили на своей странице в соцсети X (ранее Twitter).
По словам исследователей, выявленная ими уязвимость позволяла злоумышленникам подменять сторонние приложения и получать доступ к пользовательским данным без запроса административных прав или дополнительной авторизации. Информация о проблеме была передана Apple в октябре 2025 года.
Однако в конце мая 2026 года представители Apple сообщили команде, что выплата по программе Apple Security Bounty не будет произведена, поскольку данная уязвимость якобы была обнаружена другим исследователем ранее.
В Mysk заявили, что причиной разрыва отношений стал не столько сам отказ в вознаграждении, сколько недостаточная прозрачность процесса взаимодействия с компанией. По утверждению специалистов, обсуждение проблемы с Apple заняло несколько месяцев, а коммуникация сопровождалась длительными задержками и необходимостью неоднократно доказывать наличие уязвимости.
Исследователи также раскритиковали существующий порядок рассмотрения заявок в рамках программы поощрения за найденные ошибки, отметив отсутствие ясности относительно сроков ответов и критериев принятия решений.
После этого инцидента Mysk намерена отказаться от передачи Apple сведений о серьезных уязвимостях, которые могут использоваться для атак на пользователей. При этом команда не исключает публикацию информации о менее значительных ошибках и технических недочетах через социальные сети и открытые каналы коммуникации.
Ранее в «Лаборатории Касперского» рассказали о взломе Apple.
