近日,科技领域掀起一场关于苹果安全赏金计划调整的讨论。安全研究员Csaba Fitzl公开对苹果公司提出指责,称其安全赏金计划(Apple Security Bounty)对部分macOS漏洞的奖励金额进行了大幅下调。
Fitzl在社交媒体上详细披露,针对macOS隐私保护框架TCC(透明度、同意与控制)的完整绕过漏洞,奖励金额从原先的3.05万美元(按当前汇率约合21.6万元人民币)大幅降至5000美元(约合35393元人民币),降幅高达83.61%。不仅如此,其他独立的TCC漏洞类别奖励也从5000至1万美元的区间削减至仅1000美元(约合7079元人民币)。
TCC作为macOS的核心安全功能,其作用至关重要。它旨在确保应用程序在访问用户个人数据前,必须获得用户的明确授权。一旦绕过TCC,攻击者便能在未经用户同意的情况下窃取敏感数据,给用户带来极大的安全隐患。
Fitzl认为,苹果此次降低赏金的行为向外界释放了一个不良信号:苹果可能不再像过去那样重视Mac的安全性。他担忧,原本就数量有限的macOS漏洞研究人员可能会因此而选择转向其他平台,这将进一步削弱macOS的安全研究力量。
更令人担忧的是,较低的官方奖励可能会促使部分研究人员将发现的漏洞以高价出售给第三方公司或黑市。一旦这种情况发生,广大Mac用户的安全将直接受到威胁。
不过,也有媒体指出,苹果在降低部分macOS漏洞赏金的同时,也大幅提高了其他类型漏洞的奖励。例如,无需用户交互的“零点击”远程攻击链赏金从100万美元翻倍至200万美元,针对锁屏设备的物理访问攻击赏金也提高到了50万美元。
有分析认为,苹果此次策略调整是一场基于用户数量的“数字考量”。由于iPhone在市场份额和营收贡献方面远超Mac,苹果自然会将安全资源优先投入到保护iOS这个拥有庞大用户群体的平台上。因此,尽管macOS的赏金有所降低,但苹果显然将防御重点放在了影响范围更广、潜在危害更大的攻击类型上。
