Pesquisador encontra vulnerabilidade extremamente perigosa no Safari — a Apple a precificou em apenas US$ 1.000

A Apple incentiva pesquisadores de segurança cibernética a encontrar e relatar vulnerabilidades em seus produtos, com recompensas de até US$ 2 milhões. Mas um pesquisador que encontrou uma vulnerabilidade crítica no navegador Safari com uma avaliação de 9,8 em 10 afirma ter recebido apenas US$ 1.000 por ela.

Em 2022, a Apple atualizou seu programa de recompensas por bugs e anunciou que o pagamento médio era de US$ 40.000, com recompensas de seis dígitos oferecidas em vinte casos para a identificação de “problemas sérios”. Por exemplo, um aluno que hackeou com sucesso a câmera de um Mac e um iPhone recebeu US$ 175.000. Por outro lado, um usuário que encontrou um bug crítico no Safari recebeu apenas US$ 1.000.

A vulnerabilidade, numerada CVE-2025-30466, foi corrigida no Safari 18.4, parte das atualizações de março do iOS/iPadOS 18.4 e do macOS 15.4. Trata-se de uma vulnerabilidade de Universal Cross-Site Scripting (UXSS) que permite que um invasor se faça passar por um usuário legítimo e obtenha acesso aos seus dados. O pesquisador que a descobriu demonstrou como ela pode ser usada para acessar o iCloud e o aplicativo de câmera do iOS.

A modesta recompensa de US$ 1.000 é, segundo uma teoria, explicada pelo fato de que a exploração dessa vulnerabilidade exige que o usuário execute alguma ação. O grau de participação do usuário no ataque é um dos critérios usados para atribuir a recompensa. A Apple pode ter avaliado corretamente a ameaça real da exploração da vulnerabilidade, mas o perigo de recompensas baixas é que elas podem incentivar os especialistas a não denunciá-las à empresa, mas sim a vendê-las no mercado negro.