一名年仅18岁、自称是苹果macOS及iOS粉丝的德国业余安全研究人员Linus Henze披露了macOS上的Keychain漏洞,可披露Keychain上所存放的所有密码,Henze并说因苹果并未提供macOS的漏洞挖掘奖励,因此他并不想与苹果分享漏洞细节。
macOS操作系统的“钥匙圈”(Keychain)功能可用来存储各项服务的密码,Henze打造了一个名为Keysteal的攻击程序,并通过YouTube视频展示如何以Keysteal截取Keychain所存放的所有密码。
2017年9月曾有另一名研究人员Patrick Wardle公布macOS High Sierra的Keychain漏洞,同样是允许黑客通过攻击程序以明文展现Keychain中的密码。
Henze说,虽然苹果修补了Wardle所发现的漏洞,但他却找到另一个Keychain漏洞,影响最新的macOS Mojave平台及更旧的macOS版本。
有鉴于苹果仅提供了针对iOS的漏洞漏洞挖掘奖励,并未波及macOS,使得Henze决定不与苹果分享漏洞细节,并希望苹果有一天会想通。
根据Bleeping Computer的报导,苹果的安全团队的确曾与Henze接洽,询问Henze能否分享漏洞细节,但他的回应是除非苹果作出某些改变,目前尚未得到苹果的回复。 Henze也强调他并不是为了金钱,而是认为漏洞奖励项目才能同时造福苹果与研究人员,进而惠及苹果产品的安全性。
分享到:
閱讀更多 十輪網 的文章
