尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
一位18歲的安全研究員發現了一個MacOS漏洞,它可以在蘋果的密鑰鏈軟件中暴露密碼。但他拒絕將細節交給蘋果,因為蘋果公司不會因為發現MacOS缺陷而提供獎勵。
研究人員linus henze發布了一段視頻,展示了所謂的「keystal」。開發利用。它顯示他在MacBookPro上運行一個被操縱的應用程序,然後提取存儲在MacOS密碼管理系統(KeyChainAccess)中的所有登錄憑據。
他的被操縱的應用程序只需要幾秒鐘就可以運行,才能以純文本顯示所有存儲的用戶名和密碼。
通常,當發現了軟件錯誤,發現者將其報告給供應商,以便立即進行修補。但這次不行。「這就像(蘋果)真的不關心MacOS,」有網友說。「發現這樣的漏洞需要時間,我只是認為付錢給研究人員是正確的做法,因為我們正在幫助蘋果公司讓他們的產品更加安全。」
蘋果的bug賞金程序目前只適用於iOS系統,僅適用於邀。可能很快就會看到發薪日他發現的一個FaceTime錯誤。所有其他軟件缺陷和故障都可以報告給面向開發者的蘋果公司。
另一位Mac安全研究員說,他測試了Henze的密鑰鏈攻擊,這是合法的。他同意蘋果應該為MacOS提供一個漏洞獎勵程序。
有網友說:「在我看來,如果(蘋果)關心MacOS及其用戶的安全,那是不需要考慮的。」「這只會鼓勵更多的安全研究人員發現蘋果明顯缺失的此類漏洞。」