Годы подряд Apple строила имидж Mac вокруг идеи максимальной безопасности и приватности: закрытая экосистема, строгий контроль приложений, быстрые патчи и маркетинг в духе «Mac менее уязвим для атак». На этом фоне последнее изменение в программе Security Bounty для macOS выглядит почти как пощёчина по собственному же лозунгу. Всего через несколько недель после громкого повышения выплат компания тихо, без лишнего шума, урезала целый ряд ключевых вознаграждений именно за уязвимости в macOS — причём в тот момент, когда число атак и вредоносов под Mac неуклонно растёт.
Чтобы понять, почему это так раздражает исследователей, нужно вспомнить, как вообще работает bug bounty. Крупные технологические компании платят независимым экспертам за ответственное раскрытие уязвимостей. Вместо того чтобы продавать найденную дыру на чёрном или сером рынке, специалист приносит её напрямую в компанию и получает официальное вознаграждение. Чем серьёзнее уязвимость и чем сложнее её найти и эксплуатировать, тем выше должна быть награда. Так выстраивается простая и понятная система мотивации, которая в идеале выигрывает и для бизнеса, и для пользователей.
В какой-то момент казалось, что Apple наконец решила играть по правилам рынка. Пороговые суммы по программе были повышены, документация немного упорядочена, а компания начала громче говорить о своём сотрудничестве с исследователями. Но свежие изменения в разделе, посвящённом macOS на официальной странице Security Bounty, сильно охладили этот оптимизм. macOS-исследователь безопасности Чаба Фицл (Csaba Fitzl) из компании Iru внимательно сравнил старую и новую сетку выплат и в своём посте на LinkedIn показал, насколько радикально были урезаны некоторые категории.
Самый заметный удар пришёлся по уязвимостям, позволяющим полностью обходить механизм Transparency, Consent and Control (TCC). Именно TCC отвечает за те самые системные запросы доступа к камере, микрофону, Фото, календарю и другим чувствительным данным. Полный обход TCC означает, что вредоносное приложение может тихо, без единого диалога с пользователем, залезть в его личные файлы и контент. Раньше за такую находку можно было получить до 30 500 долларов. Теперь верхняя планка для аналогичного класса уязвимостей в macOS — около 5 000 долларов. Снижение почти на 83% выглядит не просто экономией, а демонстративным обесцениванием крайне критического класса багов.
Серьёзно пострадала и другая ключевая категория — выход из песочницы (sandbox escape). Песочница в macOS ограничивает права приложений и не позволяет им напрямую управлять всей системой. Но если злоумышленник находит способ выскочить за её пределы, он получает куда больший контроль над системой и может комбинировать этот обход с другими уязвимостями для полноценного взлома. Ранее Apple выплачивала порядка 10 000 долларов за такие находки. В обновлённой таблице награда опускается до 5 000 долларов, то есть фактически делится пополам.
Есть и более тонкая категория — уязвимости, которые разрешают доступ к данным, защищённым TCC (например, к фотографиям), но без использования специального TCC Target Flag. Они всё равно разрывают задуманный Apple контур приватности, однако теперь такие находки оцениваются всего в 1 000 долларов. Для человека, который неделями или месяцами разбирается в сложной архитектуре macOS, копается в системных демонах и API, это выглядит скорее как символический «спасибо», чем серьёзное вознаграждение за работу, напрямую влияющую на безопасность сотен миллионов устройств.
Особенно тревожно всё это звучит на фоне эволюции вредоносного ПО для Mac. Если раньше macOS считалась сравнительно экзотической целью, то сегодня под неё выходят и навязчивая реклама, и крадущие пароли и токены «стилеры», и специализированный шпионский софт. Масштаб корпоративного использования Mac растёт, а вместе с ним растёт и интерес злоумышленников к платформе. На таком фоне сокращать стимулы для тех, кто помогает обнаруживать самые опасные дырки, — как минимум странный сигнал со стороны компании, которой так нравится говорить о себе как о лидере в области безопасности.
При этом нельзя сказать, что Apple ничего не делает для защиты пользователей. В iOS и macOS появился отдельный режим Lockdown Mode, предназначенный для людей с повышенными рисками: в нём урезаются вложения, отключаются превью ссылок, жёстко ограничиваются веб-технологии и ряд потенциально опасных функций. Браузер Safari получил более жёсткую архитектуру изоляции веб-контента. На уровне «железа» в чипах, таких как семейство A19, внедрена Memory Integrity Enforcement — механизм, который усложняет эксплуатацию уязвимостей, связанных с повреждением памяти. Всё это важные кирпичики общей обороны, но их устойчивость напрямую зависит от того, насколько активно исследователи пытаются их сломать и насколько выгодно им делиться своими находками с Apple.
Критики говорят, что уменьшение выплат по macOS создаёт искажённый стимул. Если за сложный обход TCC или качественный sandbox escape Apple предлагает сумму, сопоставимую с несколькими неделями хорошей зарплаты, а на сером рынке такие же уязвимости могут стоить во много раз дороже, естественно, часть специалистов начнёт делать выбор не в пользу программы bug bounty. Особенно это чувствительно для независимых исследователей и экспертов из стран, где подобные выплаты — важная часть дохода. В долгосрочной перспективе это может привести к тому, что всё больше критических дыр будет либо продаваться частным заказчикам, либо вообще не раскрываться публично.
Почему Apple пошла на такой шаг, официально не объясняется. Можно строить версии: возможно, внутри компании считают, что защита macOS уже достаточно зрелая и действительно опасные баги встречаются реже, или пытаются унифицировать выплаты между iOS и macOS. Но со стороны всё это больше похоже на попытку сократить расходы, чем на продуманную стратегию. Особенно на фоне конкурентов, которые наоборот расширяют программы поощрения и активно выстраивают отношения с исследовательским сообществом.
Обычному владельцу Mac эти изменения не принесут молниеносной катастрофы. Ваш ноутбук не станет незащищённым уже завтра, и большая часть встроенных механизмов продолжит работать. Но bug bounty — это инвестирование в будущее платформы. Если меньше людей захочет разбирать внутренности macOS и искать изощрённые способы её взлома в рамках официальной программы, уязвимости будут жить дольше, а продвинутые злоумышленники — пользоваться этим молча. Вопрос здесь не в том, «ненавидит ли Apple Mac», а в том, насколько компания на самом деле ценит работу тех, кто делает её красивый образ «самого безопасного компьютера» хоть немного ближе к реальности.
1 коммент
вот так и получается: на презентации «самый безопасный mac», а за баги платят копейки