苹果部分macOS漏洞赏金从21.5万降至3.5万，降幅达83.61%

12月3日消息，科技媒体Appleinsider于昨日（12月2日）发布博文，其中提到安全研究员Csaba Fitzl公开对苹果公司提出批评，指出苹果的安全赏金计划（Apple Security Bounty）对部分macOS漏洞的奖励金额进行了大幅下调。

Fitzl 在其社交媒体上详细指出，针对 macOS 隐私保护框架 TCC（透明度、同意与控制）的完整绕过漏洞，奖励金额已从之前的 3.05 万美元（IT之家注：现汇率约合 21.6 万元人民币）骤降至 5000 美元（现汇率约合 35393 元人民币），缩水 83.61% 。

同时，其他独立的TCC漏洞类别的奖励也从原本5000到1万美元的区间，缩减至仅1000美元（按照当前汇率，约合人民币7079元）。

TCC 作为 macOS 系统的核心安全机制，其作用在于保证应用程序在访问用户个人数据之前，必须先获得用户的明确授权许可。一旦 TCC 被绕过，就等同于让攻击者能够在用户毫不知情且未同意的情况下，窃取各类敏感数据。

图源：苹果官网

Fitzl表示，调低赏金金额对外释放出一种信号：苹果或许不像以往那般重视Mac的安全性。他提醒道，原本数量就不多的macOS漏洞研究人员，可能会受此影响转而投身其他平台，这将进一步弱化针对macOS的安全研究力量。

更严重的是，官方奖励金额较低可能会促使部分研究人员把发现的漏洞以高价卖给第三方公司或黑市，这对众多 Mac 用户的安全形成了直接威胁。

该媒体同时提到，苹果确实显著提升了其他类型漏洞的奖励金额。像不需要用户操作的“零点击”远程攻击链赏金，就从100万美元增加了一倍，达到200万美元；而针对锁屏设备的物理访问攻击赏金，也提高到了50万美元。

该媒体分析指出，苹果此次的策略调整本质上是一场围绕用户数量展开的“数字博弈”。鉴于iPhone在市场份额与营收占比上都远超Mac，苹果显然会把安全资源优先配置给iOS这一用户基数最大的平台。

因此，即便macOS的漏洞赏金金额有所下调，苹果公司显然还是把防御重心放在了那些影响范围更宽泛、潜在危害更严重的攻击类型上。

【：IT之家】