IT之家 12 月 3 日消息，科技媒體 Appleinsider 昨日（12 月 2 日）發(fā)布博文，報道稱安全研究員 Csaba Fitzl 公開指責(zé)蘋果公司，稱其安全賞金計劃（Apple Security Bounty）大幅下調(diào)了部分 macOS 漏洞的獎勵金額。

Fitzl 在其社交媒體上詳細指出，針對 macOS 隱私保護框架 TCC（透明度、同意與控制）的完整繞過漏洞，獎勵金額已從之前的 3.05 萬美元（IT之家注：現(xiàn)匯率約合 21.6 萬元人民幣）驟降至 5000 美元（現(xiàn)匯率約合 35393 元人民幣），縮水 83.61% 。

同時，其他獨立的 TCC 漏洞類別獎勵也從 5000 至 1 萬美元的范圍削減至僅 1000 美元（現(xiàn)匯率約合 7079 元人民幣）。

TCC 是 macOS 的核心安全功能，旨在確保應(yīng)用在訪問用戶個人數(shù)據(jù)前必須獲得明確授權(quán)，繞過 TCC 意味著攻擊者可以在未經(jīng)用戶同意的情況下竊取敏感數(shù)據(jù)。

圖源：蘋果官網(wǎng)

Fitzl 認為，降低賞金向外界傳遞了一個信號：蘋果可能不再像以前那樣重視 Mac 的安全性。他警告稱，本就為數(shù)不多的 macOS 漏洞研究人員可能會因此轉(zhuǎn)向其他平臺，從而進一步削弱 macOS 的安全研究力量。

更嚴重的是，較低的官方獎勵可能會誘使部分研究人員將發(fā)現(xiàn)的漏洞高價出售給第三方公司或黑市，這對廣大 Mac 用戶的安全構(gòu)成了直接威脅。

該媒體同時指出，蘋果確實大幅提高了其他類型漏洞的獎勵。例如，無需用戶交互的“零點擊”遠程攻擊鏈賞金從 100 萬美元翻倍至 200 萬美元，而針對鎖屏設(shè)備的物理訪問攻擊賞金也提高到了 50 萬美元。

該媒體分析認為，蘋果的策略調(diào)整是一場基于用戶數(shù)量的“數(shù)字游戲”。由于 iPhone 的市場份額和營收貢獻遠超 Mac，蘋果自然會將安全資源優(yōu)先投入到保護 iOS 這個擁有最大用戶群體的平臺上。

因此，盡管 macOS 的賞金有所降低，但蘋果顯然將防御重點放在了影響范圍更廣、潛在危害更大的攻擊類型上。