Ένας γνωστός ερευνητής ασφάλειας αναφέρει ότι η Apple μείωσε τα πλεονεκτήματα της για την εύρεση ευπαθειών στο macOS. Πολλά έχουν μειωθεί στο μισό, με ένα από αυτά να έχει μειωθεί από πάνω από 30.000 $ σε μόλις $5.000, παρά το αυξανόμενο πρόβλημα με το κακόβουλο λογισμικό Mac.
Ο Csaba Fitzl, κύριος ερευνητής ασφάλειας macOS στην Iru, λέει ότι υποδηλώνει ότι η Apple δεν ενδιαφέρεται πραγματικά για το Mac και αυξάνει την πιθανότητα τα τρωτά σημεία να πωλούνται στη μαύρη αγορά αντί να αναφέρονται στην εταιρεία…
Τα επιδόματα ασφαλείας της Apple μειώθηκαν
Fitzl αναρτήθηκαν παραδείγματα των νέων τιμών στο LinkedIn.
Οι πλήρεις παρακάμψεις TCC (privacy) μειώνονται από 30,5k σε 5k. Δύσκολο να ερμηνευτεί αυτό με καλό τρόπο. Έχει την αίσθηση:
- Εμείς (η Apple) παραδεχόμαστε ότι δεν μπορούμε να διορθώσουμε αυτό το χάλι και δεν μας νοιάζει πια
ή τουλάχιστον δεν είναι πρόθυμοι να πληρώσουν για αυτό
- Δεν μας ενδιαφέρει το απόρρητο
Οι μεμονωμένες κατηγορίες TCC μειώνονται επίσης από 5-10k σε 1k.
Αυτό είναι πραγματικά περίεργο, ειδικά επειδή το μάντρα της Apple είναι η προστασία της ιδιωτικής ζωής…
Οι διαφυγές sandbox macOS μειώνονται επίσης σε 5k από 10k.
Εμείς επαληθεύτηκε ότι τα ποσοστά που ανέφερε είναι ακριβή.
Διαφάνεια, συναίνεση και έλεγχος (TCC)
Το TCC αναφέρεται στο πλαίσιο διαφάνειας, συναίνεσης και ελέγχου της Apple. Αυτοί είναι οι μηχανισμοί που διασφαλίζουν ότι οι εφαρμογές μπορούν να έχουν πρόσβαση σε ευαίσθητα προσωπικά δεδομένα μόνο εάν έχουν ρητή άδεια χρήστη. Μια πλήρης παράκαμψη TCC θα επέτρεπε σε μια εφαρμογή να αποκτήσει πρόσβαση στα προσωπικά στοιχεία ενός χρήστη Mac χωρίς τη συγκατάθεσή του.
Μεταξύ άλλων, το TCC προστατεύει την πρόσβαση σε:
- Τα αρχεία και οι φάκελοί σας
- Τα περιεχόμενα των εφαρμογών της Apple, συμπεριλαμβανομένων των Επαφών, των Ημερολογίων και της Υγείας
- Webcam, μικρόφωνα και δυνατότητες εγγραφής οθόνης
Οι ερευνητές ασφαλείας έχουν ανακαλύψει μια σειρά από σοβαρά τρωτά σημεία του TCC στο παρελθόν. Ένα παράδειγμα επέτρεψε σε έναν εισβολέα να τροποποιήσει τη βάση δεδομένων συναίνεσης έτσι ώστε το macOS να πιστεύει ότι ένας χρήστης έχει παράσχει άδεια ενώ δεν το έχει δώσει. Μια άλλη ήταν μια επίθεση ένεσης κώδικα που επέτρεψε σε μια απατεώνα εφαρμογή να εκμεταλλευτεί τις άδειες TCC που είχαν ήδη χορηγηθεί σε μια νόμιμη εφαρμογή.
Ο Fitzl σημειώνει ότι πολλοί ερευνητές ασφάλειας δεν επικεντρώνονται στην πλατφόρμα Mac και με ακόμη μικρότερα βραβεία που προσφέρονται, αυτός ο αριθμός είναι πιθανό να μειωθεί περαιτέρω. Αυξάνει επίσης τον κίνδυνο όποιος ανακαλύψει ένα exploit να αποφασίσει να το πουλήσει στη μαύρη αγορά αντί να το αναφέρει στην Apple.
Φαίνεται ανεξήγητο ότι η εταιρεία θα έκανε αυτές τις αλλαγές σε μια εποχή που υπάρχει περισσότερο κακόβουλο λογισμικό Mac από ποτέ. Επικοινωνήσαμε με την Apple για σχόλια και θα ενημερώσουμε με οποιαδήποτε απάντηση.
Τονισμένα αξεσουάρ
Φωτογραφία από Philipp Katzenberger επί Ξεβιδώστε
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
