Mac 惡意程式激增之際,蘋果卻下調漏洞獎金
在 Mac 惡意軟體持續攀升的當下,蘋果近期調整 macOS 漏洞回報獎金的做法,引發全球資安社群高度關注。多名研究人員指出,蘋果已大幅降低多項 macOS 相關漏洞的獎金,其中部分獎金從過去的 3.05 萬美元降到僅剩 5 千美元,降幅之大與公司多年強調的隱私與安全形象形成強烈反差。
Iru 的首席 macOS 資安研究員 Csaba Fitzl 是最先揭露此事的人,他在 LinkedIn 上公布多項獎金下修細節,特別指出,完整的 TCC(Transparency, Consent, and Control)繞過漏洞,從原本的 3.05 萬美元直接降到 5 千美元;過去被視為高風險的各類 TCC 子漏洞,也從 5 千到 1 萬美元之間的獎金範圍,降到僅剩 1 千美元;甚至 macOS sandbox 逃逸漏洞的獎金,也從 1 萬美元砍半到 5 千美元。
(Source:LinkedIn)
TCC 架構向來是保護 macOS 用戶的重要基礎,它負責管理 App 對敏感資訊的存取授權,包括文件資料、聯絡人、行事曆、健康資料、攝影機、麥克風與螢幕錄製權限等。過往已有多起研究證實,若 TCC 遭惡意繞過,攻擊者可直接跳過授權機制,或透過程式碼注入方式利用合法 App 的既有權限,讓使用者在毫不知情的狀況下暴露於巨大的隱私風險之中。因此,TCC 一直被視為 macOS 最不容出現漏洞的關鍵層級。
正因如此,獎金幅度大幅下滑的消息讓資安研究社群相當錯愕。Fitzl 指出,專注 macOS 的研究人員本來就相對稀少,如今獎金誘因下降,勢必讓投入 macOS 漏洞研究的動機更低。他也擔心,一旦正規回報流程的獎金不足以反映研究者的投入成本,未公開漏洞的黑市價格反而更具吸引力,可能提高漏洞被轉往灰色市場交易的風險。
外界更不解的是,這項調整發生在 Mac 惡意軟體出現前所未有增幅的時間點。近一年多來,多家安全廠商都指出 macOS 已不再是攻擊者忽略的平台,針對 Mac 的惡意程式、惡意安裝包與社交工程攻擊皆快速增加,使得 macOS 安全性成為產業關注焦點。
(首圖來源:pixabay)