近日,科技界就苹果公司对旗下安全赏金计划进行大幅调整一事展开了广泛讨论。知名安全研究员Csaba Fitzl公开指出,苹果将原本针对macOS系统中特定漏洞的奖励金额进行了大幅削减。
Fitzl在社交媒体平台详细披露,针对macOS隐私保护框架TCC(透明度、同意与控制)的完整绕过漏洞,奖金从原本的3.05万美元(约合21.6万元人民币)骤降至5000美元(约合3.5万元人民币),降幅高达83.61%。不仅如此,其他独立TCC漏洞类别的奖励也从此前的5000至1万美元区间被缩减至仅1000美元(约合7079元人民币)。
作为macOS核心安全机制,TCC的重要性不言而喻。该系统旨在确保应用程序在访问用户个人数据前,必须获得明确的授权同意。一旦攻击者成功绕过TCC防护,便能在未经用户许可的情况下窃取敏感信息,给用户带来严重的安全隐患。
Fitzl对此表示,苹果此次下调赏金的举动向外界释放了一个不良信号:这家科技巨头可能不再像过去那样重视Mac平台的安全性。他担心本就数量有限的macOS漏洞研究人员可能会因此转而关注其他平台,这将进一步削弱macOS安全领域的研究力量。
更令人忧虑的是,过低的奖励标准可能导致部分研究人员将发现的漏洞高价出售给第三方公司或黑市。一旦这种情况成为常态,广大Mac用户的安全将面临直接威胁。
不过也有媒体指出,苹果在降低部分macOS漏洞奖金的同时,也大幅提高了其他类型漏洞的奖励标准。例如,无需用户交互的“零点击”远程攻击链赏金从100万美元翻倍至200万美元,针对锁屏设备的物理访问攻击赏金也提高到了50万美元。
分析人士认为,苹果此次策略调整更像是一场基于用户规模的“数字考量”。由于iPhone在市场份额和营收贡献方面远超Mac系列,苹果自然会将安全资源优先投入到保护iOS这个拥有庞大用户群体的平台上。因此,尽管macOS的赏金有所下调,但苹果显然将防御重点放在了影响范围更广、潜在危害更大的攻击类型上。
