Un conocido investigador de seguridad informa que Apple ha reducido sus recompensas por descubrir vulnerabilidades en macOS. Muchos se han reducido a la mitad, y uno pasó de más de 30.000 dólares a sólo 5.000 dólares, a pesar del creciente problema de malware en Mac.
Csaba Fitzl, investigador senior de seguridad de macOS en Iru, dice que esto sugiere que a Apple realmente no le importa la Mac y aumenta la probabilidad de que las vulnerabilidades se vendan en el mercado negro en lugar de ser reportadas a la compañía…
Se reducen las primas de seguridad de Apple
Fitzl ejemplos publicados Nuevos precios en LinkedIn.
Las omisiones completas de TCC (privacidad) pasaron de 30,5k a 5k. Es difícil interpretar esto de la manera correcta. Tenemos la impresión de que:
- Nosotros (Apple) admitimos que no podemos arreglar esta mierda y ya no nos importa
o al menos no estoy dispuesto a pagar por ello
- No nos importa la privacidad
Las categorías individuales de TBC también están disminuyendo, de 5 a 10.000 y 1.000.
Esto parece realmente extraño, especialmente porque el mantra de Apple es la privacidad…
Los escapes de la zona de pruebas de macOS también se redujeron de 10.000 a 5.000.
Nosotros comprobado que las tarifas que citó son exactas.
Transparencia, Consentimiento y Control (TCC)
TCC se refiere al marco de transparencia, consentimiento y control de Apple. Se trata de mecanismos que garantizan que las aplicaciones sólo puedan acceder a datos personales sensibles si cuentan con el permiso explícito del usuario. Una omisión completa de la TCC permitiría que una aplicación acceda a la información privada de un usuario de Mac sin su consentimiento.
Entre otras cosas, TCC protege el acceso a:
- Tus archivos y carpetas
- Contenido de aplicaciones de Apple, incluidos Contactos, Calendarios y Salud
- Cámara web, micrófonos y capacidades de grabación de pantalla.
Los investigadores de seguridad han descubierto una serie de vulnerabilidades graves de TCC en el pasado. Un ejemplo permitió a un atacante modificar la base de datos de consentimiento para que macOS pensara que un usuario había otorgado permiso cuando no lo había hecho. Otro ataque de inyección de código permitió que una aplicación maliciosa aprovechara los permisos TCC ya otorgados a una aplicación legítima.
Fitzl señala que pocos investigadores de seguridad se centran en la plataforma Mac y, con recompensas aún más modestas, es probable que ese número disminuya aún más. También aumenta el riesgo de que cualquiera que descubra un exploit decida venderlo en el mercado negro en lugar de informarlo a Apple.
Parece inexplicable que la empresa esté realizando estos cambios en un momento en el que el malware para Mac es más frecuente que nunca. Nos comunicamos con Apple para hacer comentarios y actualizaremos cualquier respuesta.
Accesorios destacados
Foto por Philipp Katzenberger seguro desempaquetar
