Un conocido investigador de seguridad informa que Apple ha reducido sus recompensas por encontrar vulnerabilidades en macOS. Muchos se han reducido a la mitad, y uno de ellos se redujo de más de 30.000 dólares a sólo 5.000 dólares, a pesar del creciente problema con el malware para Mac.
Csaba Fitzl, investigador principal de seguridad de macOS en Iru, dice que esto sugiere que a Apple realmente no le importa la Mac y aumenta la probabilidad de que las vulnerabilidades se vendan en el mercado negro en lugar de informarse a la empresa…
Se reducen drásticamente las recompensas de seguridad de Apple
Fitzl publicó ejemplos de las nuevas tarifas en LinkedIn.
Las omisiones totales de TCC (privacidad) se redujeron de 30,5k a 5k. Es difícil interpretar esto en el buen sentido. Se siente como:
- Nosotros (Apple) admitimos que no podemos arreglar esta mierda y ya no nos importa
o al menos no dispuesto a pagar por ello
- No nos importa la privacidad
Las categorías individuales de TCC también bajaron de 5-10k a 1k.
Esto se siente realmente extraño, especialmente porque el mantra de Apple es la privacidad…
Los escapes de la zona de pruebas de macOS también se han reducido de 10k a 5k.
Verificamos que las tarifas que citó son precisas.
Transparencia, Consentimiento y Control (TCC)
TCC se refiere al marco de Transparencia, Consentimiento y Control de Apple. Estos son los mecanismos que garantizan que las aplicaciones solo puedan acceder a datos personales confidenciales si tienen el permiso explícito del usuario. Una omisión completa de TCC permitiría que una aplicación obtenga acceso a la información privada de un usuario de Mac sin consentimiento.
Entre otras cosas, TCC protege el acceso a:
- Tus archivos y carpetas
- El contenido de las aplicaciones de Apple, incluidos Contactos, Calendarios y Salud.
- Cámara web, micrófonos y capacidades de grabación de pantalla.
Los investigadores de seguridad han descubierto una serie de vulnerabilidades graves de TCC en el pasado. Un ejemplo permitió a un atacante modificar la base de datos de consentimiento para que macOS piense que un usuario ha otorgado permiso cuando no lo ha hecho. Otro fue un ataque de inyección de código que permitió que una aplicación fraudulenta aprovechara los permisos TCC ya otorgados a una aplicación legítima.
Fitzl señala que no muchos investigadores de seguridad se centran en la plataforma Mac, y con premios aún más pequeños en oferta, es probable que ese número disminuya aún más. También aumenta el riesgo de que cualquiera que descubra un exploit decida venderlo en el mercado negro en lugar de informarlo a Apple.
Parece inexplicable que la empresa realice estos cambios en un momento en el que hay más malware para Mac que nunca. Nos comunicamos con Apple para hacer comentarios y lo actualizaremos con cualquier respuesta.
Accesorios destacados
Foto de Philipp Katzenberger en Unsplash
