[圖]發現macOS鑰匙串漏洞的18歲少年決定向蘋果公佈所有細節
在沒有獲得蘋果任何報酬的情況下,Linus Henze還是決定向蘋果公司提交有關在macOS鑰匙串(Keychain)安全軟體中發現的嚴重BUG。之前他選擇隱藏該BUG細節,以抗議蘋果為何不為macOS平臺啟動Bug Bounty懸賞活動, 不過現在他認為這個問題實在是太嚴重了,決定不能自己私藏。
儘管蘋果公司忽視了他之前提出的所有條件,2月初這位來自德國的18歲年輕人還是向蘋果展示了鑰匙串安全漏洞的全部細節。Henze表示他已經決定向蘋果公司透露所有細節,因為他發現這個錯誤非常關鍵,並表示因為macOS使用者的安全對於他來說非常重要。
在2月上旬公佈的演示 視訊 中,別有用心的攻擊者可以在沒有管理員許可權(或管理員密碼)的情況下,利用該漏洞收集Mac裝置上的所有敏感資料。此前在接受《福布斯》採訪表示,查詢漏洞費心費力,向研究者支付酬勞是天經地義的,因為我們在幫助蘋果公司的產品變得更加安全。
據悉,蘋果有一個針對 iOS 移動平臺的獎勵計劃,為發現 bug 的人們提供賞金。遺憾的是,對於桌面平臺的 macOS 系統,蘋果並沒有類似的除蟲獎勵。2月5日,他在發給蘋果的一封電子郵件中表示:“如果蘋果官方向我講述為何蘋果並不希望為macOS建立BUG Bounty計劃的原因,我願意立即向你提交完整的詳細資訊,包括補丁。”
2月8日,他再次向蘋果傳送電子郵件,重新陳述自己的情況,但似乎沒有迴應。