就在苹果公司将其安全赏金计划的奖励提升至新高度的几周后,这家科技巨头如今却大幅削减了针对发现macOS相关安全漏洞的货币奖励,而此时与Mac相关的恶意软件攻击正日益普遍。
macOS安全赏金现已下调,降幅在50%到惊人的83%之间,具体取决于目标漏洞的类型。
来自Iru的macOS安全研究员Csaba Fitzl(Csaba Fitzl)最近在LinkedIn上发表了一篇引人关注的帖子,指出了苹果专注于macOS的安全赏金计划中突然出现的吝啬做法。
从上面引用的Fitzl的帖子中可以明显看出,苹果已经大幅削减了针对多个macOS相关类别的货币奖励:
完全绕过透明度、同意与控制(TCC)的漏洞——即允许恶意应用在未经用户明确授权的情况下访问敏感个人数据的漏洞——其奖励现已削减83%,仅为5000美元,而之前的奖励是30500美元。
macOS沙箱逃逸漏洞的奖励下调了50%,从之前的约10000美元降至5000美元。
对于能够获取受TCC保护(如照片)的敏感数据但未使用TCC目标标志的漏洞,现在有资格获得1000美元的奖励。
当然,多年来,该赏金计划帮助苹果大幅提升了其安全状况,目前包括:
专门的锁定模式——通过阻止附件、链接预览和基于网络的限制等措施,最小化攻击向量。
Safari浏览器的升级版安全架构。
内存完整性强制执行——A19等芯片中的一项安全功能,可防范内存损坏漏洞。
尽管如此,通过随意削减针对macOS漏洞发现的赏金,苹果显然采取了一种倒退的举措,这可能会使这款流行的操作系统更容易受到安全漏洞利用的攻击。看来苹果已经不再钟爱Mac了。
