Исследователь Ли До Хён рассказал о своём негативном опыте участия в bug bounty Apple. В июне он обнаружил критическую уязвимость в iOS и macOS. Уязвимость, получившая номер CVE-2024-23282, позволяла вредоносным электронным письмам инициировать вызовы FaceTime без авторизации пользователя.
«Эта ошибка может привести к утечке данных на iOS, даже если включён режим блокировки. Хотя режим блокирует входящие вызовы FaceTime, он не может блокировать исходящие вызовы», — уточнил исследователь.
Ли До Хён отправил Apple PoC-эксплойт уязвимости и получил от компании награду в $5 тыс. Это самая низкая планка вознаграждения по bug bounty, которое Apple предоставляет исследователям. По словам Ли До Хёна, он обращался в Apple с просьбой пересмотреть сумму, но компания отказала.
Сама уязвимость была оперативно исправлена в macOS Sonoma 14.5, watchOS 10.5, iOS 17.5 и iPadOS 17.5, iOS 16.7.8 и iPadOS 16.7.8.
