Em outubro, a Apple anunciou que os pagamentos do seu programa Security Bounty aumentariam consideravelmente. Embora as recompensas para algumas descobertas de bugs/brechas tenham chegado a US$2 milhões, surgiram reclamações sobre as remunerações para algumas categorias de vulnerabilidades do macOS.
Em publicações nas redes sociais, o pesquisador de segurança Csaba Fitzl afirma que o programa de recompensas da Apple foi “desvalorizado” no macOS. Segundo ele, um dos pagamentos caiu de US$30,5 mil para US$5 mil, enquanto outros tipos de descobertas com valores entre US$5 mil e US$10 mil foram para apenas US$1 mil.
🧵Apple just devalued full TCC bypasses from 30,5k to 5k. Hard to interpret this in a good way. It feels like
— Csaba Fitzl (@theevilbit) December 2, 2025
– we admit we can’t fix this shit and we don’t care or at least not willing to pay for it
– we don’t care about privacyhttps://t.co/jGd553oHw0
– Admitimos que não conseguimos resolver esse problema e não nos importamos, ou pelo menos não estamos dispostos a pagar por isso;
– Não nos importamos com a privacidade.
De acordo com os valores atualizados, conforme verificado pelo 9to5Mac, a Apple pagará US$1 mil se alguém tiver acesso físico a um dispositivo bloqueado e conseguir acessar um conjunto de dados confidenciais do usuário.
Especificamente para o macOS, uma violação do Gatekeeper com interação limitada do usuário pode render um pagamento de até US$10 mil. Enquanto isso, uma forma de escapar de um sandbox que funcione apenas no macOS pode valer até US$5 mil.
Recompensa de US$1.000 para brecha grave no Safari provoca críticas à Apple
Bruno Cardoso31/07/2025 • 15:42O pesquisador afirma que não há muitas pessoas procurando por vulnerabilidades no macOS — e, com a diminuição no valor das recompensas, ele presume que isso reduzirá ainda mais o número de pesquisadores dedicados ao sistema da Maçã.
Apesar desse cenário, vale a pena considerar que as recompensas mais altas da Apple são destinadas a ataques que justificam pagamentos elevados. Por exemplo, ataques remotos sem intervenção do usuário recebem recompensas altas devido ao impacto que podem causar — em diversos sistemas operacionais da empresa.