IT之家 12 月 3 日消息,科技媒体 Appleinsider 昨日(12 月 2 日)发布博文,报道称安全研究员 Csaba Fitzl 公开指责苹果公司,称其安全赏金计划(Apple Security Bounty)大幅下调了部分 macOS 漏洞的奖励金额。
Fitzl 在其社交媒体上详细指出,针对 macOS 隐私保护框架 TCC(透明度、同意与控制)的完整绕过漏洞,奖励金额已从之前的 3.05 万美元(IT之家注:现汇率约合 21.6 万元人民币)骤降至 5000 美元(现汇率约合 35393 元人民币),缩水 83.61% 。
同时,其他独立的 TCC 漏洞类别奖励也从 5000 至 1 万美元的范围削减至仅 1000 美元(现汇率约合 7079 元人民币)。
TCC 是 macOS 的核心安全功能,旨在确保应用在访问用户个人数据前必须获得明确授权,绕过 TCC 意味着攻击者可以在未经用户同意的情况下窃取敏感数据。
Fitzl 认为,降低赏金向外界传递了一个信号:苹果可能不再像以前那样重视 Mac 的安全性。他警告称,本就为数不多的 macOS 漏洞研究人员可能会因此转向其他平台,从而进一步削弱 macOS 的安全研究力量。
更严重的是,较低的官方奖励可能会诱使部分研究人员将发现的漏洞高价出售给第三方公司或黑市,这对广大 Mac 用户的安全构成了直接威胁。
该媒体同时指出,苹果确实大幅提高了其他类型漏洞的奖励。例如,无需用户交互的“零点击”远程攻击链赏金从 100 万美元翻倍至 200 万美元,而针对锁屏设备的物理访问攻击赏金也提高到了 50 万美元。
该媒体分析认为,苹果的策略调整是一场基于用户数量的“数字游戏”。由于 iPhone 的市场份额和营收贡献远超 Mac,苹果自然会将安全资源优先投入到保护 iOS 这个拥有最大用户群体的平台上。
因此,尽管 macOS 的赏金有所降低,但苹果显然将防御重点放在了影响范围更广、潜在危害更大的攻击类型上。
