IT之家12月3日综合消息,科技媒体Appleinsider在12月2日报道称,安全研究员Csaba Fitzl公开指出苹果公司大幅削减了其安全赏金计划(Apple Security Bounty)中针对部分macOS漏洞的奖励金额。
Fitzl在社交媒体上详细说明,针对macOS隐私保护框架TCC(透明度、同意与控制)的完整绕过漏洞,奖励金额已从原先的3.05万美元(约合人民币21.6万元)骤降至5000美元(约合人民币35393元),降幅高达83.61%。
与此同时,其他独立的TCC漏洞类别奖励也从5000至1万美元的范围削减至仅1000美元(约合人民币7079元)。
TCC是macOS的核心安全功能,旨在确保应用在访问用户个人数据前必须获得明确授权。绕过TCC意味着攻击者可以在未经用户同意的情况下窃取敏感数据。

图源:苹果正式
Fitzl认为,降低赏金向外界传递了一个信号:苹果可能不再像以往那样重视Mac的安全性。他警告称,本就为数不多的macOS漏洞研究人员可能会因此转向其他平台,从而进一步削弱macOS的安全研究力量。
更严重的是,较低的奖励可能会诱使部分研究人员将发现的漏洞高价出售给第三方公司或黑市,这对广大Mac用户的安全构成了直接威胁。
该媒体同时指出,苹果确实大幅提高了其他类型漏洞的奖励。例如,无需用户交互的“零点击”远程攻击链赏金从100万美元翻倍至200万美元,而针对锁屏设备的物理访问攻击赏金也提高到了50万美元。
该媒体分析认为,苹果的策略调整是一场基于用户数量的“数字游戏”。由于iPhone的市场份额和营收贡献远超Mac,苹果自然会优先将安全资源投入到保护iOS这个拥有最大用户群体的平台。
因此,尽管macOS的赏金有所降低,但苹果显然将防御重点放在了影响范围更广、潜在危害更大的攻击类型上。
