近日,科技領域掀起一場關于蘋果安全賞金計劃調整的討論。安全研究員Csaba Fitzl公開對蘋果公司提出指責,稱其安全賞金計劃(Apple Security Bounty)對部分macOS漏洞的獎勵金額進行了大幅下調。
Fitzl在社交媒體上詳細披露,針對macOS隱私保護框架TCC(透明度、同意與控制)的完整繞過漏洞,獎勵金額從原先的3.05萬美元(按當前匯率約合21.6萬元人民幣)大幅降至5000美元(約合35393元人民幣),降幅高達83.61%。不僅如此,其他獨立的TCC漏洞類別獎勵也從5000至1萬美元的區間削減至僅1000美元(約合7079元人民幣)。
TCC作為macOS的核心安全功能,其作用至關重要。它旨在確保應用程序在訪問用戶個人數據前,必須獲得用戶的明確授權。一旦繞過TCC,攻擊者便能在未經用戶同意的情況下竊取敏感數據,給用戶帶來極大的安全隱患。
Fitzl認為,蘋果此次降低賞金的行為向外界釋放了一個不良信號:蘋果可能不再像過去那樣重視Mac的安全性。他擔憂,原本就數量有限的macOS漏洞研究人員可能會因此而選擇轉向其他平臺,這將進一步削弱macOS的安全研究力量。
更令人擔憂的是,較低的官方獎勵可能會促使部分研究人員將發現的漏洞以高價出售給第三方公司或黑市。一旦這種情況發生,廣大Mac用戶的安全將直接受到威脅。
不過,也有媒體指出,蘋果在降低部分macOS漏洞賞金的同時,也大幅提高了其他類型漏洞的獎勵。例如,無需用戶交互的“零點擊”遠程攻擊鏈賞金從100萬美元翻倍至200萬美元,針對鎖屏設備的物理訪問攻擊賞金也提高到了50萬美元。
有分析認為,蘋果此次策略調整是一場基于用戶數量的“數字考量”。由于iPhone在市場份額和營收貢獻方面遠超Mac,蘋果自然會將安全資源優先投入到保護iOS這個擁有龐大用戶群體的平臺上。因此,盡管macOS的賞金有所降低,但蘋果顯然將防御重點放在了影響范圍更廣、潛在危害更大的攻擊類型上。
