Специалист по безопасности нашёл уязвимость macOS, из-за которой происходит утечка паролей. Однако он отказывается делиться деталями о баге с Apple, так как у компании отсутствует программа вознаграждения для «операционки» Мас, пишет Engadget.
Критическую уязвимость KeySteal обнаружил 18-летний Линус Хенце. Баг извлекает пароли из связки ключей KeyChain на устройствах Мас простым нажатием кнопки и без прав администратора.
Однако Хенце не намерен помогать Apple исправить проблему, потому что программа bug bounty компании охватывает только iOS. Исследователь опубликовал видео, где показал уязвимость в действии на последней версии macOS Mojave 10.14.3. По его словам, она затрагивает и более ранние версии, но не угрожает связкам ключей iCloud.
«Поиск подобных уязвимостей занимает время, и, я думаю, было бы справедливо заплатить исследователям за это, потому что они помогают Apple улучшить безопасность её продуктов», — считает Хенце.
Это уже вторая уязвимость за последнее время, найденная в продуктах Apple подростком. Пользователю, сообщившему о баге FaceTime, который позволял звонящим прослушивать собеседников, всего 14 лет. Патч для этой уязвимости Apple пока не выпустила.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.