Un conocido investigador de seguridad informa que Apple ha estrecho sus recompensas por encontrar vulnerabilidades en macOS. Muchos se han estrecho a la medio, y uno de ellos se redujo de más de 30.000 dólares a sólo 5.000 dólares, a pesar del creciente problema con el malware para Mac.
Csaba Fitzl, investigador principal de seguridad de macOS en Iru, dice que esto sugiere que a Apple efectivamente no le importa la Mac y aumenta la probabilidad de que las vulnerabilidades se vendan en el mercado desventurado en empleo de informarse a la empresa…
Se reducen drásticamente las recompensas de seguridad de Apple
Fitzl publicó ejemplos de las nuevas tarifas en LinkedIn.
Las omisiones totales de TCC (privacidad) se redujeron de 30,5k a 5k. Es difícil interpretar esto en el buen sentido. Se siente como:
- Nosotros (Apple) admitimos que no podemos arreglar esta mierda y ya no nos importa
o al menos no dispuesto a sufragar por ello
- No nos importa la privacidad
Las categorías individuales de TCC incluso bajaron de 5-10k a 1k.
Esto se siente efectivamente extraño, especialmente porque el mantra de Apple es la privacidad…
Los escapes de la zona de pruebas de macOS incluso se han estrecho de 10k a 5k.
Verificamos que las tarifas que citó son precisas.
Transparencia, Consentimiento y Control (TCC)
TCC se refiere al situación de Transparencia, Consentimiento y Control de Apple. Estos son los mecanismos que garantizan que las aplicaciones solo puedan penetrar a datos personales confidenciales si tienen el permiso manifiesto del beneficiario. Una omisión completa de TCC permitiría que una aplicación obtenga entrada a la información privada de un beneficiario de Mac sin consentimiento.
Entre otras cosas, TCC protege el entrada a:
- Tus archivos y carpetas
- El contenido de las aplicaciones de Apple, incluidos Contactos, Calendarios y Salubridad.
- Cámara web, micrófonos y capacidades de disco de pantalla.
Los investigadores de seguridad han descubierto una serie de vulnerabilidades graves de TCC en el pasado. Un ejemplo permitió a un atacante modificar la cojín de datos de consentimiento para que macOS piense que un beneficiario ha otorgado permiso cuando no lo ha hecho. Otro fue un ataque de inyección de código que permitió que una aplicación fraudulenta aprovechara los permisos TCC ya otorgados a una aplicación legítima.
Fitzl señala que no muchos investigadores de seguridad se centran en la plataforma Mac, y con premios aún más pequeños en ofrecimiento, es probable que ese número disminuya aún más. Igualmente aumenta el peligro de que cualquiera que descubra un exploit decida venderlo en el mercado desventurado en empleo de informarlo a Apple.
Parece inexplicable que la empresa realice estos cambios en un momento en el que hay más malware para Mac que nunca. Nos comunicamos con Apple para hacer comentarios y lo actualizaremos con cualquier respuesta.
Accesorios destacados
Foto de Philipp Katzenberger en Unsplash
