Hiljuti turvauurija Linus Henze leidis vigu macOS Mojaves, mis andis juurdepääsu võtmepöörduses salvestatud paroolidele.
Oleme kommenteerinud nii vea enda üksikasju kui ka Henze rahulolematust Apple’iga lihtsal ja õiglasel põhjusel: praegu on Apple’i preemiaprogramm (mis maksab häkkeritele, kes leiavad vead ja annavad ettevõttele kõigest teada) keskendub täielikult iOS-ile; see tähendab, et isegi kui keegi leiab macOS-ist tõeliselt tõsise vea ja edastab kogu teabe Apple’ile, ei saa ta selle eest dollarit.
Selle rahulolematuse tõttu otsustas teadlane oma uurimistöö üksikasju mitte jagada.
Siiani pole midagi uut.
Mõni päev tagasi otsustas Apple siiski Henzega ühendust võtta ja küsida, kas ta saadab üksikasjad ära kasutada.
Seejärel teeb ta ettevõttele pakkumise – minu arvates piisavalt aus -: ta annab üle kõik detailid, sealhulgas a plaaster parandades probleemi, nii et ettevõte saaks kõik väga kiiresti lahendada, tingimusel et keegi Apple’ist saadab ametliku vastuse, selgitades, miks pole MacOS-i jaoks hüvede programmi
Teisipäeval võttis @Apple minuga ühendust ja küsis, kas saadan neile üksikasju oma ekspluateerimise kohta.
Ma ütlesin neile, et oleksin nõus, kui nad mu pakkumise vastu võtaksid.
Kuid ma ei saanud neilt mingit vastust.
Täna kirjutasin selle uuesti.
Lisatud on pilt sellest, mida ma kirjutasin.
pic.twitter.com/GcNv8VQISH
– Linus Henze (@LinusHenze) 8. veebruar 2019
Kuigi Henze eesmärk oli oma töö eest palka saada, ei küsinud teadlane rahalist tasu ega midagi.
Mida ta soovib, on kuulda ettevõttelt seda, mida paljud häkkerid sellest ajast peale armastavad.
Ainult iOS-ile keskendunud bounty-programmi loomisel on ridade vahel selge sõnum, et oluline on ainult nende kasutajate ohutus.
Henze küsis korra Apple’ilt ega saanud vastust; paar päeva hiljem saatis ta uue meili ja … mitte midagi.
Avaldust ei tulnud, kuid Henze otsustas seda teavet siiski jagada, sest uskus, et macOS-i kasutajate turvalisus on olulisem kui miski muu.
Olen otsustanud saata oma võtmehoidja ekspluateerimised aadressile @Apple, kuigi need ei reageeri, sest see on nii kriitiline ja kuna macOS-i kasutaja turvalisus on minu jaoks oluline.
Olen neile saatnud kõik üksikasjad, sealhulgas plaaster.
Muidugi tasuta.
– Linus Henze (@LinusHenze) 28. veebruar 2019
As 9 kuni 5 Mac tema sõnul oli kahju, et Apple ei tunnistanud isegi viga, et sellist programmi ei pakkunud – see on täiesti tavaline igas tehnoloogiaettevõttes.
Ma ei imestaks, kui ettevõte teataks kohe, et nad lõid midagi sellist.
