Apple cắt mạnh tiền thưởng lỗi macOS, gây lo ngại về bảo mật Mac

Chỉ vài tuần sau khi nâng mức thưởng của chương trình Security Bounty lên mức cao nhất từ trước đến nay, Apple lại bất ngờ giảm mạnh khoản tiền thưởng dành cho các lỗ hổng bảo mật liên quan đến macOS — đúng lúc các cuộc tấn công malware nhắm vào máy Mac đang ngày càng gia tăng.

Trong thông tin chia sẻ gần đây trên LinkedIn, chuyên gia bảo mật macOS Csaba Fitzl (Iru) cho biết Apple đã cắt giảm từ 50% đến hơn 80% tiền thưởng tùy loại lỗ hổng. Đây được xem là động thái “thắt lưng buộc bụng” khá khó hiểu trong bối cảnh hệ sinh thái Mac đang đối mặt rủi ro bảo mật lớn hơn trước.

Theo bài đăng của Fitzl, những hạng mục từng được Apple đầu tư mạnh nay bị thu hẹp đáng kể. Chẳng hạn, lỗi bypass Transparency, Consent, and Control (TCC) — dạng lỗ hổng nguy hiểm cho phép ứng dụng độc hại truy cập dữ liệu nhạy cảm mà không cần người dùng cho phép — nay chỉ còn được thưởng 5.000 USD, tức giảm 83% so với mức 30.500 USD trước đây. Việc thoát khỏi sandbox trên macOS, vốn là kỹ thuật giúp phần mềm vượt ra ngoài môi trường cách ly, cũng giảm một nửa tiền thưởng, chỉ còn 5.000 USD thay vì khoảng 10.000 USD.

Một dạng lỗ hổng khác, cho phép truy cập dữ liệu thuộc phạm vi bảo vệ của TCC (ví dụ ảnh trong Photos) nhưng không dùng cờ TCC Target Flag, giờ chỉ được thưởng 1.000 USD. Tất cả mức thưởng mới đều được Apple công khai trên trang chương trình bounty của hãng.

Không thể phủ nhận rằng chương trình thưởng lỗi trong nhiều năm qua đã giúp Apple tăng cường đáng kể khả năng phòng thủ. macOS giờ đây có Lockdown Mode hạn chế tối đa các điểm tấn công như file đính kèm, xem trước link hay nội dung web. Safari cũng được nâng cấp kiến trúc bảo mật, và các chip mới — như A19 — đã hỗ trợ Memory Integrity Enforcement để giảm thiểu lỗi hỏng bộ nhớ.

Tuy nhiên, việc Apple đột ngột cắt giảm tiền thưởng cho lỗ hổng macOS đang bị cộng đồng bảo mật đánh giá là bước lùi. Quyết định này có thể khiến các chuyên gia ít mặn mà với việc tìm lỗi, vô tình đẩy macOS vào nguy cơ dễ bị khai thác hơn. Điều này khiến nhiều người tự hỏi: phải chăng Apple đang dần “hết yêu” Mac?