Немецкий подросток, который обнаружил лазейку в безопасности macOS Keychain в прошлом месяце, теперь поделился деталями с Apple, после того как изначально отказался передать их из-за отсутствия в компании программы вознаграждений за ошибки для Mac.
Восемнадцатилетний Линус Хенце назвал обнаруженную им уязвимость нулевого дня для macOS «KeySteal», которая, как демонстрируется в видео выше, может быть использована для раскрытия всех конфиденциальных данных, хранящихся в приложении Keychain.
Хенце заявил, что решил раскрыть детали Apple, потому что ошибка «очень критична и потому что безопасность пользователей macOS важна для меня».
I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.
— Linus Henze (@LinusHenze) February 28, 2019
После того как Хенце опубликовал видео в начале февраля, команда безопасности Apple связалась с ним, но исследователь заявил, что не раскроет детали без денежного вознаграждения, утверждая, что обнаружение уязвимостей требует времени.
«Даже если кажется, что я делаю это только ради денег, это совсем не моя мотивация в данном случае», — сказал Хенце. «Моя мотивация заключается в том, чтобы Apple создала программу вознаграждений за ошибки. Я считаю, что это лучше всего как для Apple, так и для исследователей».
У Apple есть программа вознаграждений для iOS, которая предусматривает денежные выплаты тем, кто обнаруживает ошибки, но аналогичной системы выплат для ошибок macOS нет.
