Apple существенно сократила размер вознаграждений в своей программе bug bounty для операционной системы macOS, что подтвердили независимые источники. В частности, максимальная выплата за обнаружение уязвимости, позволяющей полностью обойти фреймворк защиты приватности под названием Transparency, Consent, and Control (TCC), контролирующий доступ приложений к личным файлам, камере, микрофону и данным «Контактов», «Календаря» и «Здоровья», снизилась с $30 500 до $5000. Аналогичное уменьшение коснулось и выплат за так называемые escapes — уязвимости в системе безопасности macOS, которые позволяют вредоносной программе, работающей в изолированной «песочнице» (sandbox), получить доступ к системным ресурсам и данным за её пределами.
Ведущий исследователь безопасности macOS из компании Iru Чаба Фицл (Csaba Fitzl) раскритиковал это решение, заявив, что оно демонстрирует снижение приоритета безопасности платформы Mac со стороны Apple и может привести к сокращению числа исследователей, работающих над её защитой. Он также предупредил о повышенном риске, связанным с тем, что обнаруженные уязвимости будут продаваться на чёрном рынке, а не сообщаться компании. Примечательно, что эти изменения в bounty-программе происходят в период, когда, по данным экспертов, наблюдается рост количества вредоносного ПО для компьютеров Mac.
Источник: mobile-review.com