一名年僅18歲、自稱是蘋果macOS及iOS粉絲的德國業餘安全研究人員Linus Henze披露了macOS上的Keychain漏洞,可披露Keychain上所存放的所有密碼,Henze並說因蘋果並未提供macOS的漏洞挖掘獎勵,因此他並不想與蘋果分享漏洞細節。
macOS操作系統的“鑰匙圈”(Keychain)功能可用來存儲各項服務的密碼,Henze打造了一個名為Keysteal的攻擊程序,並通過YouTube視頻展示如何以Keysteal截取Keychain所存放的所有密碼。
2017年9月曾有另一名研究人員Patrick Wardle公佈macOS High Sierra的Keychain漏洞,同樣是允許黑客通過攻擊程序以明文展現Keychain中的密碼。
Henze說,雖然蘋果修補了Wardle所發現的漏洞,但他卻找到另一個Keychain漏洞,影響最新的macOS Mojave平臺及更舊的macOS版本。
有鑑於蘋果僅提供了針對iOS的漏洞漏洞挖掘獎勵,並未波及macOS,使得Henze決定不與蘋果分享漏洞細節,並希望蘋果有一天會想通。
根據Bleeping Computer的報導,蘋果的安全團隊的確曾與Henze接洽,詢問Henze能否分享漏洞細節,但他的回應是除非蘋果作出某些改變,目前尚未得到蘋果的回覆。 Henze也強調他並不是為了金錢,而是認為漏洞獎勵項目才能同時造福蘋果與研究人員,進而惠及蘋果產品的安全性。
分享到:
閱讀更多 十輪網 的文章
