發現macOS鑰匙串漏洞的18歲少年決定向蘋果公佈所有細節
在沒有獲得蘋果任何報酬的情況下,Linus Henze還是決定向蘋果公司提交有關在macOS鑰匙串(Keychain)安全軟件中發現的嚴重BUG。之前他選擇隱藏該BUG細節,以抗議蘋果為何不為macOS平台啟動Bug Bounty懸賞活動,不過現在他認為這個問題實在是太嚴重了,決定不能自己私藏。
儘管蘋果公司忽視了他之前提出的所有條件,2月初這位來自德國的18歲年輕人還是向蘋果展示了鑰匙串安全漏洞的全部細節。Henze表示他已經決定向蘋果公司透露所有細節,因為他發現這個錯誤非常關鍵,並表示因為macOS用戶的安全對於他來說非常重要。
在2月上旬公佈的演示中,別有用心的攻擊者可以在沒有管理員權限(或管理員密碼)的情況下,利用該漏洞收集Mac設備上的所有敏感數據。此前在接受《福布斯》採訪表示,查找漏洞費心費力,向研究者支付酬勞是天經地義的,因為我們在幫助蘋果公司的產品變得更加安全。
據悉,蘋果有一個針對iOS 移動平台的獎勵計劃,為發現bug 的人們提供賞金。遺憾的是,對於桌面平台的macOS 系統,蘋果並沒有類似的除蟲獎勵。2月5日,他在發給蘋果的一封電子郵件中表示:“如果蘋果官方向我講述為何蘋果並不希望為macOS創建BUG Bounty計劃的原因,我願意立即向你提交完整的詳細信息,包括補丁。”
2月8日,他再次向蘋果發送電子郵件,重新陳述自己的情況,但似乎沒有回應。