| 2 декабря 2025 г. — 6:51 утра по тихоокеанскому времени
Известный специалист по безопасности сообщает, что Apple резко снизила вознаграждения за обнаружение уязвимостей в macOS. Многие из них были уменьшены вдвое, а одно из них — с более чем 30 000 долларов до всего лишь 5 000 долларов, несмотря на растущую проблему с вредоносными программами для Mac.
Чаба Фитцл, ведущий специалист по безопасности macOS в Iru, говорит, что это предполагает, что Apple на самом деле не заботится о Mac, и увеличивает вероятность того, что уязвимости будут проданы на черном рынке, а не сообщены компании…
Apple снижает вознаграждения за безопасность
Фитцл опубликовал примеры новых ставок в LinkedIn.
Полные обходы TCC (конфиденциальности) снижены с 30,5 тыс. до 5 тыс. Трудно интерпретировать это в хорошем ключе. Ощущение такое:
- Мы (Apple) признаем, что не можем исправить эту ерунду, и нам больше все равно
или, по крайней мере, мы не готовы за это платить
- Нам наплевать на конфиденциальность
Отдельные категории TCC также снижены с 5-10 тыс. до 1 тыс.
Это кажется действительно странным, особенно учитывая, что мантра Apple — конфиденциальность…
Уклонение от песочницы macOS также снижено до 5 тыс. с 10 тыс.
Мы проверили, что указанные им ставки верны.
Прозрачность, согласие и контроль (TCC)
TCC относится к фреймворку Apple Transparency, Consent, and Control (Прозрачность, согласие и контроль). Это механизмы, которые гарантируют, что приложения могут получить доступ к конфиденциальным личным данным только при наличии явного разрешения пользователя. Полный обход TCC позволил бы приложению получить доступ к частной информации пользователя Mac без его согласия.
Среди прочего, TCC защищает доступ к:
- Вашим файлам и папкам
- Содержимому приложений Apple, включая Контакты, Календари и Здоровье
- Веб-камере, микрофонам и возможностям записи экрана
Исследователи безопасности в прошлом обнаружили ряд серьезных уязвимостей TCC. Один из примеров позволил злоумышленнику изменить базу данных согласий, чтобы macOS думала, что пользователь предоставил разрешение, когда на самом деле этого не произошло. Другой был атакой внедрения кода, которая позволила вредоносному приложению использовать разрешения TCC, уже предоставленные законному приложению.
Фитцл отмечает, что не так много специалистов по безопасности сосредоточены на платформе Mac, и с еще меньшими предлагаемыми вознаграждениями это число, вероятно, еще больше уменьшится. Это также увеличивает риск того, что любой, кто обнаружит эксплойт, решит продать его на черном рынке, а не сообщить Apple.
Кажется необъяснимым, что компания пойдет на такие изменения в то время, когда вредоносных программ для Mac стало больше, чем когда-либо. Мы обратились к Apple за комментарием и обновим статью в случае получения ответа.
Рекомендуемые аксессуары
- Официальный магазин Apple на Amazon
- Адаптер питания Apple 40W Dynamic Power Adapter для iPhone 17
- Официальные чехлы и бамперы Apple iPhone Air
- Аккумулятор iPhone Air MagSafe
- Официальный чехол iPhone Air
- Официальные чехлы для iPhone 17
- Официальные чехлы для iPhone 17 Pro и Pro Max
Фото: Филипп Катценбергер на Unsplash