Un conocido investigador de seguridad ha informado que Apple ha tomado atajos cuando se trata de encontrar vulnerabilidades en macOS. Muchos se han reducido a la mitad, incluido uno que bajó de 30.000 dólares a sólo 5.000 dólares a pesar de los crecientes problemas con el malware de Mac.
Csaba Fitzl, investigador principal de seguridad de macOS en Iru, dijo que esto sugiere que a Apple realmente no le importan las Mac, y en lugar de informar a la empresa, es más probable que las vulnerabilidades se vendan en el mercado negro…
La recompensa de seguridad de Apple ha sido recortada
fitzol Ejemplo de publicación Nueva tarifa en LinkedIn.
La derivación total de TCC (privacidad) se redujo de 30,5k a 5k. Es difícil de explicar en el buen sentido. Se siente como:
- Nosotros (Apple) admitimos que no podemos arreglar esta mierda y ya no nos importa
O al menos no está dispuesto a pagar por ello.
- No nos importa la privacidad
Las categorías individuales de TCC también han bajado de 5-10k a 1k.
Esto parece realmente extraño, especialmente porque el mantra de Apple es la privacidad…
El escape de la zona de pruebas de macOS también se redujo de 10k a 5k.
somos ha sido verificado La tarifa que citó es correcta.
Transparencia, Cumplimiento y Control (TCC)
La TCC se refiere al marco de transparencia, cumplimiento y control de Apple. Estos procedimientos garantizan que las aplicaciones solo puedan acceder a datos personales confidenciales si tienen el permiso explícito del usuario. Una omisión completa de TCC permitiría que una aplicación acceda a la información personal de un usuario de Mac sin permiso.
Entre otras cosas, TCC protege el acceso a:
- Tus archivos y carpetas
- Contenido de la aplicación Apple, incluidos Contactos, Calendario y Salud
- Capacidades de grabación de pantalla, micrófono y cámara web
Los investigadores de seguridad han descubierto varias vulnerabilidades graves de TCC en el pasado. Un ejemplo permitió a un atacante cambiar la base de datos de consentimiento para que macOS piense que un usuario ha dado permiso aunque no lo haya hecho. Otro fue un ataque de inyección de código que permitió que una aplicación fraudulenta aprovechara los permisos TCC ya otorgados a una aplicación legítima.
Fitzol señala que muchos investigadores de seguridad no se centran en la plataforma Mac, y con recompensas aún menores en oferta, ese número podría caer aún más. Esto aumenta el riesgo de que alguien que descubra un exploit decida venderlo en el mercado negro en lugar de informarlo a Apple.
Parece inexplicable que la empresa realice estos cambios en un momento en el que hay más malware para Mac que nunca. Nos comunicamos con Apple para hacer comentarios y lo actualizaremos con cualquier respuesta.
Accesorios destacados
Foto por Philip Katzenberger en desempaquetar
