Известный исследователь в области кибербезопасности сообщил, что компания Apple существенно сократила размеры вознаграждений за обнаружение уязвимостей в операционной системе macOS. Выплаты по многим категориям были урезаны вдвое, а в некоторых случаях — более чем в шесть раз, несмотря на растущее количество вредоносного ПО для Mac.
«Нам плевать на конфиденциальность»
Чаба Фицл, ведущий исследователь безопасности macOS, заявил, что такие действия указывают на безразличие Apple к своей десктопной платформе. По его мнению, это повышает вероятность того, что найденные уязвимости будут продаваться злоумышленникам на теневом рынке, вместо того чтобы сообщаться компании для исправления.
Фицл опубликовал на LinkedIn новые тарифы программы Bug Bounty:
- Обход защиты TCC (полный доступ): выплата снижена с более чем $30 500 до $5 000.
- Отдельные категории TCC: вознаграждение упало с $5 000–10 000 до $1000.
- Побег из песочницы (Sandbox escape): премия сократилась с $10 000 до $5 000.
«Сложно найти этому позитивное объяснение. Это выглядит так, будто Apple признаёт: "Мы не можем исправить это дерьмо, и нам всё равно", или, по крайней мере, компания не желает за это платить. Это ощущается как "Нам плевать на конфиденциальность"», — прокомментировал ситуацию Фицл.
Исследователь отметил странность такого шага, учитывая, что защита приватности является главным маркетинговым коньком компании.
Что такое TCC и почему это важно
Аббревиатура TCC расшифровывается как Transparency, Consent, and Control («Прозрачность, согласие и контроль»). Это ключевой защитный фреймворк Apple, гарантирующий, что приложения могут получить доступ к личным данным только с явного разрешения пользователя.
Полный обход TCC позволяет вредоносной программе получить доступ к приватной информации владельца Mac без его ведома. Среди прочего, TCC защищает:
- файлы и папки пользователя;
- данные приложений Apple, включая «Контакты», «Календарь» и «Здоровье»;
- веб-камеру, микрофон и возможность записи экрана.
В прошлом специалисты по безопасности уже находили серьёзные бреши в этой защите. Один из эксплойтов позволял злоумышленникам модифицировать базу данных разрешений так, что macOS ошибочно считала, будто пользователь дал добро на доступ. Другая атака использовала внедрение кода, позволяя вредоносному приложению перехватывать права, уже выданные легитимной программе.
Риски для экосистемы
Фицл подчёркивает, что платформой Mac занимается не так много исследователей безопасности, и снижение выплат, вероятно, ещё больше сократит их число. Это, в свою очередь, создаёт опасный прецедент: специалисту, обнаружившему критическую уязвимость, становится экономически выгоднее продать её на чёрном рынке, чем отчитываться перед Apple.
При этом решение компании выглядит необъяснимым на фоне того, что количество вредоносных программ для macOS достигло исторического максимума.
Ещё по теме:
- Музыкальные итоги года: Apple запустила полную версию Replay 2025
- Функция «обнаружение падения» помогла туристу в Колорадо
- Модель Gen 4.5 от Runway опередила ИИ-сервисы Google и OpenAI
