Программист нашёл критическую уязвимость macOS, но отказался делиться информацией с Apple — она за это не платит

7 февраля 2019, 12:42

Специалист по безопасности нашёл уязвимость macOS, из-за которой происходит утечка паролей. Однако он отказывается делиться деталями о баге с Apple, так как у компании отсутствует программа вознаграждения для «операционки» Мас, пишет Engadget.

 

Критическую уязвимость KeySteal обнаружил 18-летний Линус Хенце. Баг извлекает пароли из связки ключей KeyChain на устройствах Мас простым нажатием кнопки и без прав администратора.

Однако Хенце не намерен помогать Apple исправить проблему, потому что программа bug bounty компании охватывает только iOS. Исследователь опубликовал видео, где показал уязвимость в действии на последней версии macOS Mojave 10.14.3. По его словам, она затрагивает и более ранние версии, но не угрожает связкам ключей iCloud.

«Поиск подобных уязвимостей занимает время, и, я думаю, было бы справедливо заплатить исследователям за это, потому что они помогают Apple улучшить безопасность её продуктов», — считает Хенце.

Это уже вторая уязвимость за последнее время, найденная в продуктах Apple подростком. Пользователю, сообщившему о баге FaceTime, который позволял звонящим прослушивать собеседников, всего 14 лет. Патч для этой уязвимости Apple пока не выпустила.

Обсуждение