A Apple reduziu drasticamente as recompensas para caçadores de bugs, enquanto o crescimento de malware para macOS está batendo recordes.

A Apple reduziu significativamente as recompensas pela descoberta de vulnerabilidades no sistema operacional macOS, apesar do aumento da atividade de malware. Algumas recompensas foram reduzidas em mais de seis vezes; por exemplo, o prêmio pela descoberta de uma vulnerabilidade relacionada à burla de um mecanismo de proteção de privacidade foi reduzido de US$ 30.500 para US$ 5.000.

Essa informação foi divulgada pelo 9to5Mac, citando Csaba Fitzl, um dos principais pesquisadores de segurança do macOS no IRU. Fitzl publicou os valores atuais do programa de recompensas por segurança da Apple em sua página no LinkedIn, observando que tais mudanças são difíceis de interpretar positivamente, especialmente considerando o compromisso declarado da Apple com a proteção da privacidade do usuário. Ele acredita que isso pode sinalizar que a Apple não está disposta a investir na correção desses problemas ou que está despriorizando a segurança na plataforma Mac como um todo.

O mecanismo de proteção de privacidade Transparência, Consentimento e Controle (TCC) é uma estrutura de transparência, consentimento e controle que garante que os aplicativos acessem dados confidenciais do usuário somente com permissão explícita. O sistema regula o acesso a recursos como arquivos e pastas, dados de aplicativos integrados, além do microfone, da webcam e dos recursos de gravação de tela. Pesquisadores já haviam encontrado vulnerabilidades críticas no TCC: uma delas permitia que um invasor realizasse ações que faziam o macOS acreditar que o usuário havia concedido permissão, mesmo que não o tivesse feito. Outro bug permitia a injeção de código malicioso em aplicativos legítimos para explorar os privilégios concedidos a eles.

Fitzl enfatizou queA já pequena comunidade de pesquisadores especializados em segurança do macOS pode encolher ainda mais devido à diminuição dos incentivos financeiros. Isso, por sua vez, aumenta a probabilidade de que as vulnerabilidades descobertas sejam vendidas no mercado negro em vez de serem enviadas à Apple para correção.