萊納斯·亨澤(Linus Henze)屬於比較固執的類型。這位安全研究人員剛剛在 macOS 密碼庫(「鑰匙圈」又稱為「鑰匙圈存取」)中發現了一個嚴重缺陷。
它允許系統上安裝的任何應用程式存取有價值的密碼,而無需管理員權限。這是相當嚴重的,因為鑰匙圈應用程式儲存所有線上服務的密碼,例如即時通訊或社交網路。它還提供對安全筆記的存取。
要利用此缺陷,攻擊者只需分發受感染的應用程式並由用戶安裝即可。所有 macOS 版本都會受到影響,包括最新版本 (macOS Mojave 10.14.3)。為了證明這一點,專家上傳了一段示範影片。
不幸的是,我們不希望在短期內看到補丁。安全研究人員拒絕將其攻擊的技術細節傳輸給庫比蒂諾公司。他向網站解釋說,原因很簡單海瑟德,這是因為美國公司不提供獎勵計劃(錯誤賞金)。事實上,蘋果只為 iOS 上發現的缺陷付費。再說一次,要贏得大獎,你必須成為蘋果精心挑選的安全研究人員之一。一種不太「開放」的做事方式,經常受到安全研究人員的批評。
對於 Linus Henze 來說,杯子顯然已經滿了,這位專家似乎決心不再為蘋果免費工作。根據中電網,這家美國製造商的 IT 安全團隊已經聯繫他,以了解有關安全漏洞的詳細資訊。但他仍然態度堅決:在正式頒獎計劃出台之前不會透露任何資訊。「這聽起來好像我只是為了錢才這麼做,但事實並非如此。我的動機是鼓勵蘋果公司創建一個計劃錯誤賞金。我認為這對蘋果和安全研究人員來說都是最好的解決方案。我喜歡 Apple 產品並希望提高其安全性 »,他解釋說中電網。
在這場衝突得到解決之前,我們必須希望盜版者不會反過來找到利用這項缺陷的方法。在這種情況下,大家都會輸。為了保護自己,唯一的解決方案似乎是手動鎖定預設開啟的資料夾,即「會話」和「本機專案」。或設定從某個時間開始自動鎖定。但它在使用方面受到限制,因為每次用戶想要連接某處時都必須輸入主密碼。
