«Даже футболку не дадут»

18-летний немецкий исследователь Линус Хенце обнаружил серьезную уязвимость нулевого дня операционной системы macOS. Проблема, получившая название KeySteal, потенциально позволяет злоумышленникам получить доступ к данным так называемой «связки ключей» (keychain), где компьютеры Mac сохраняют пользовательские пароли. При этом уязвимость затрагивает все версии macOS, включая самую последнюю. Рассуждать о нависшей над любителями «яблочных» компьютеров угрозе было бы преждевременно, поскольку эксплуатация уязвимости требует установки на компьютер и запуска специальной вредоносной программы. Убедить пользователя сделать это – далеко не простая задача. Но если киберпреступникам удастся ее решить, они получат доступ ко всем сохраненным паролям жертвы.

Примечательно, что Хенце опубликовал видео, демонстрирующее эксплуатацию уязвимости, однако никому не раскрыл ее описание – включая и корпорацию Apple. По его словам, это ответ на политику компании, которая до сих пор не ввела нормальную программу премирования bug bounty для исследователей. Справедливости ради стоит сказать, что такая программа у Apple все-таки есть, но попасть в нее можно только по приглашению, а вознаграждения выплачиваются только за найденные уязвимости в мобильной операционной системе iOS. Линус Хенце сослался на недавний курьезный случай, когда исследователь из Бразилии Жоао Фигейредо обнаружил критические уязвимости нескольких веб-приложений компании Sony, но отказался от дальнейшего сотрудничества с ней, получив в награду за свою работу… футболку. «Мне не дадут даже футболки», - констатировал Хенце. Он добавил, что движет им вовсе не жадность, а любовь к продуктам Apple и стремление сделать их более безопасными. Но именно для этого и нужна нормальная программа премирования bug bounty. В корпорации Apple ситуацию пока предпочитают не комментировать.

Источники: CNET и The Register