一位知名安全研究员报告称,苹果公司已大幅削减了针对macOS漏洞发现的赏金金额。尽管Mac恶意软件问题日益严重,但许多漏洞赏金已被减半,其中一个更是从超过3万美元降至仅5000美元。
IT安全公司Iru的首席macOS安全研究员Csaba Fitzl表示,这表明苹果并不真正关心Mac,并且这会增加漏洞被拿到黑市出售而非上报给该公司的可能性……
苹果安全赏金遭削减
Fitzl在LinkedIn上发布了新的赏金标准示例。
完全绕过TCC(隐私)机制的赏金从3.05万美元降至5000美元。这很难从好的方面去解读。感觉像是:
- 我们(苹果)承认我们搞不定这烂摊子了,而且我们也不在乎了
或者至少不愿意为此付钱了
- 我们不在乎隐私
单个TCC类别的赏金也从5000-1万美元降到了1000美元。
这感觉真的很奇怪,尤其是因为苹果的口头禅是隐私……
macOS沙箱逃逸的赏金也从1万美元降到了5000美元。
我们已核实,他引用的赏金标准是准确的。
透明度、同意与控制(TCC)
TCC指的是苹果的透明度、同意与控制框架。这些机制确保应用程序只有在获得用户明确许可的情况下才能访问敏感个人数据。完全绕过TCC将允许应用程序在未经同意的情况下访问Mac用户的私人信息。
TCC保护对以下内容的访问:
- 您的文件和文件夹
- 苹果应用程序的内容,包括通讯录、日历和健康数据
- 摄像头、麦克风和屏幕录制功能
安全研究人员过去发现过许多严重的TCC漏洞。其中一个漏洞允许攻击者修改同意数据库,使macOS误以为用户已授予权限。另一个是代码注入攻击,允许恶意应用程序利用已授予合法应用程序的TCC权限。
Fitzl指出,专注于Mac平台的安全研究人员本就不多,随着赏金进一步减少,这个数字很可能会进一步萎缩。这也增加了任何发现漏洞的人决定将其在黑市出售而非报告给苹果的风险。
在Mac恶意软件比以往任何时候都多的时候,苹果做出这些改变似乎令人费解。我们已联系苹果寻求评论,如有回复将更新本文。
