01苹果削减macOS漏洞赏金
产品:macOS Sierra 苹果 操作系统12月3日,安全研究人员Csaba Fitzl近日公开对苹果公司的安全赏金计划提出批评,指出其针对部分macOS系统漏洞的奖励金额被大幅调低。据披露,此前可获得3.05万美元奖励的macOS隐私保护机制TCC(透明度、同意与控制)完整绕过漏洞,现奖励已降至5000美元,降幅达83.61%。此外,其他独立的TCC相关漏洞奖励也由原来的5000至1万美元区间下调至仅1000美元。
TCC作为macOS系统的核心安全组件,负责管控应用程序对用户敏感数据的访问权限,确保在使用摄像头、麦克风、通讯录等隐私内容前必须取得用户明确授权。一旦该机制被绕过,恶意程序便可在用户无感知的情况下获取个人数据,带来严重安全隐患。
Fitzl表示,此次大幅削减赏金可能对外释放出负面信号,即苹果对Mac平台安全性的重视程度正在减弱。他担忧,本就规模有限的macOS安全研究群体可能因此失去动力,转而将精力投向其他更具激励性的平台,导致Mac生态的安全研究进一步萎缩。更值得警惕的是,较低的官方回报可能促使部分研究人员选择将漏洞出售给第三方商业机构甚至地下市场,从而增加用户面临的安全风险。
值得注意的是,尽管macOS部分漏洞奖励被削减,但苹果同时提升了其他高危漏洞的悬赏标准。例如,无需用户交互即可触发的“零点击”远程攻击链奖励已从100万美元提升至200万美元;针对锁定状态下设备的物理攻击漏洞奖励也上调至50万美元。
分析认为,苹果此次调整反映出其安全资源分配策略的倾斜。鉴于移动设备用户基数远超个人电脑,公司在安全投入上优先保障覆盖人群更广、潜在影响更大的平台,属于基于整体安全格局的权衡之举。此举虽有助于集中资源应对最广泛的威胁,但也引发了对桌面系统长期安全投入可持续性的关注。
