在Mac恶意软件持续攀升的当下,苹果近期调整macOS漏洞回应奖金的做法,引发全球安全社交媒体高度关注。多名研究人员指出,苹果已大幅降低多项macOS相关漏洞的奖金,其中部分奖金从过去的3.05万美元降到仅剩5千美元,降幅之大与公司多年强调的隐私与安全角象形成强烈反差。
Iru的首席macOS安全研究员Csaba Fitzl是最先披露此事的人,他在LinkedIn上公布多项奖金下修细节,特别指出,完整的TCC(Transparency, Consent, and Control)绕过漏洞,从原本的3.05万美元直接降到5千美元;过去被视为高风险的各类TCC子漏洞,也从5千到1万美元之间的奖金范围,降到仅剩1千美元;甚至macOS sandbox逃逸漏洞的奖金,也从1万美元砍半到5千美元。
(Source:LinkedIn)
TCC架构向来是保护macOS用户的重要基础,它负责管理App对敏感资讯的访问授权,包括文件数据、联系人、行程表、健康数据、摄影机、麦克风与屏幕录制权限等。以往已有多起研究证实,若TCC遭恶意绕过,攻击者可直接跳过授权机制,或通过程序代码注入方式利用合法App的既有权限,让用户在毫不知情的状况下暴露于巨大的隐私风险之中。因此,TCC一直被视为macOS最不容出现漏洞的关键层级。
正因如此,奖金幅度大幅下滑的消息让安全研究社交媒体相当错愕。Fitzl指出,专注macOS的研究人员本来就相对稀少,如今奖金诱因下降,势必让投入macOS漏洞研究的动机更低。他也担心,一旦正规回应流程的奖金不足以反映研究者的投入成本,未公开漏洞的黑市价格反而更具吸引力,可能提高漏洞被转往灰色市场交易的风险。
外界更不解的是,这项调整发生在Mac恶意软件出现前所未有增幅的时间点。近一年多来,多家安全厂商都指出macOS已不再是攻击者忽略的平台,针对Mac的恶意程序、恶意安装包与社交工程攻击皆快速增加,使得macOS安全性成为产业关注焦点。
(首图来源:pixabay)
