Seorang peneliti keamanan terkenal melaporkan bahwa Apple telah memangkas kemampuannya untuk menemukan kerentanan di macOS. Banyak diantaranya yang telah dikurangi setengahnya, salah satunya berkurang dari $30k menjadi hanya $5k, meskipun ada masalah yang semakin besar dengan malware Mac.

Csaba Fitzl, peneliti keamanan utama macOS di Iru, mengatakan hal ini menunjukkan bahwa Apple tidak terlalu peduli dengan Mac, dan meningkatkan kemungkinan bahwa kerentanan akan dijual di pasar gelap alih-alih dilaporkan ke perusahaan …

Hadiah keamanan Apple dipangkas

Fitzl contoh yang diposting dari tarif baru di LinkedIn.

Bypass TCC (privasi) penuh turun dari 30,5 ribu menjadi 5 ribu. Sulit untuk menafsirkan ini dengan cara yang baik. Rasanya seperti:

  • Kami (Apple) mengakui bahwa kami tidak dapat memperbaiki masalah ini dan kami tidak peduli lagi
    atau setidaknya tidak bersedia membayarnya
  • Kami tidak peduli dengan privasi

Kategori TCC individu juga turun dari 5-10k menjadi 1k.

Ini terasa sangat aneh terutama karena mantra Apple adalah privasi…

lolosnya sandbox macOS juga turun menjadi 5k dari 10k.

Kami diverifikasi bahwa tarif yang dia kutip adalah akurat.

TCC mengacu pada kerangka Transparansi, Persetujuan, dan Kontrol Apple. Ini adalah mekanisme yang memastikan bahwa aplikasi hanya dapat mengakses data pribadi sensitif jika mereka memiliki izin pengguna yang jelas. Bypass TCC penuh akan memungkinkan aplikasi mendapatkan akses ke informasi pribadi pengguna Mac tanpa persetujuan.

Antara lain, TCC melindungi akses ke:

  • File dan folder Anda
  • Konten aplikasi Apple, termasuk Kontak, Kalender, dan Kesehatan
  • Kemampuan webcam, mikrofon, dan perekaman layar

Peneliti keamanan telah menemukan sejumlah kerentanan TCC yang serius di masa lalu. Salah satu contohnya memungkinkan penyerang mengubah database persetujuan sehingga macOS menganggap pengguna telah memberikan izin padahal mereka belum memberikannya. Serangan lainnya adalah serangan injeksi kode yang memungkinkan aplikasi jahat memanfaatkan izin TCC yang sudah diberikan kepada aplikasi sah.

Fitzl mencatat bahwa tidak banyak peneliti keamanan yang fokus pada platform Mac, dan dengan penghargaan yang lebih kecil yang ditawarkan, jumlah tersebut kemungkinan akan semakin berkurang. Hal ini juga meningkatkan risiko bahwa siapa pun yang menemukan eksploitasi akan memutuskan untuk menjualnya di pasar gelap daripada melaporkannya ke Apple.

Tampaknya tidak dapat dijelaskan bahwa perusahaan akan melakukan perubahan ini pada saat terdapat lebih banyak malware Mac dibandingkan sebelumnya. Kami telah menghubungi Apple untuk memberikan komentar dan akan memperbarui tanggapan apa pun.

Aksesori yang disorot

Foto oleh Philipp Katzenberger pada Hapus percikan

Tambahkan 9to5Mac sebagai sumber pilihan di Google
Tambahkan 9to5Mac sebagai sumber pilihan di Google

FTC: Kami menggunakan tautan afiliasi otomatis yang menghasilkan pendapatan. Lagi.

Tautan Sumber

ARTIKEL TERKAITDARI PENULIS