Někdy má člověk pocit, že před některými problémy Apple raději strká hlavu do písku, než aby je aktivně řešil. Přesně tak teď působí i situace kolem Apple Security Bounty programu, který má motivovat vývojáře k nahlášení zranitelností v systémech Applu. Jenže zatímco množství škodlivého softwaru pro Mac dál roste, samotné odměny se naopak řítí dolů a to takovým tempem, že to zvedlo ze židle i dlouholeté odborníky.
Mohlo by vás zajímat
Na problém upozornil respektovaný bezpečnostní výzkumník Csaba Fitzl, specialista na macOS bezpečnost, který poukázal na nové, nižší částky. A že se jedná o propady opravdu nepříjemné. Některé odměny totiž spadly na třetinu, jiné rovnou na pětinu. Například odměna za kompletní obejití TCC, tedy systému, jenž chrání přístup k citlivým datům na Macu, klesla zhruba z 30 tisíc dolarů na pouhých pět. Ano, čtete správně – zranitelnost, která umožní obejít ochranu kontaktů, kalendářů, souborů, mikrofonu či kamery, má podle Applu najednou hodnotu obyčejného MacBooku Air.
Fotogalerie
TCC (Transparency, Consent and Control) je jeden z nejdůležitějších bezpečnostních pilířů macOS. Právě on hlídá, které aplikace mohou sáhnout do vašich souborů, používat kameru, mikrofon nebo číst obsah aplikací Applu. Úplné obejití tohoto systému je jedna z nejnebezpečnějších chyb, jakou lze na Macu najít. Je proto nepochopitelné, že Apple snižuje odměnu za nalezení chyb, které s TCC souvisí.
Mohlo by vás zajímat
Klesly ale i dílčí TCC zranitelnosti a to z pěti až deseti tisíc dolarů rovnou na tisíc. Úniky aplikací či kódů ze sandboxu, tedy schopnost aplikace dostat se ven ze svého izolovaného prostředí, pak padají z deseti tisíc na pět. Největším paradoxem je pak podle Fitzla to, že se pokles děje ve chvíli, kdy bezpečnostní experti upozorňují, že malware pro macOS je početnější a sofistikovanější než kdy dřív, a výzkumníků, kteří se Macu věnují, je zoufale málo. Pokud ale měla Apple Security Bounty motivovat, dělá to nyní přesně opačně a riziko, že se objevené chyby přesunou na černý trh místo do Applu, tím logicky roste.
Tak to je jednoduché. Ti, co se tím živili, tak teď nalezenou zranitelnost prodají nejvyšší nabídce. A Apple buď bude víc platit, nebo to bude v médiích hrát, za pomocí represivních složek chudáka, na které ho útočí a vydírají je, aby si zachoval obraz bezpečného systému, který se nedá prolomit. 👍