Linus Henze是顽固的类型。这位安全研究人员刚刚发现了MacOS密码安全的关键缺陷(“钥匙扣”别名“访问trousseaux”)。
它允许系统上安装的任何应用程序访问宝贵的秘密代码,而无需管理人员权利。这是相当严重的,因为钥匙扣应用程序存储了所有在线服务的密码,例如消息传递或社交网络。它还允许访问安全笔记。
为了利用此缺陷,攻击者可以扩散一个veroll的应用程序,并且由用户安装。所有版本的MacOS都涉及最后一个(Macos Mojave 10.14.3)。为了证明这一点,专家在线发布了演示视频。
不幸的是,您不应该希望看到一个短期补丁。安全研究人员拒绝将其攻击的技术细节传输给库比蒂诺公司。原因很简单,他向网站解释Heise.de,这是因为美国公司不提供奖励计划(漏洞赏金)。实际上,苹果仅用于iOS上的缺点。再说一次,要触摸大奖,您必须成为苹果公司对快门的安全研究人员的一部分。一种做事的方式不是很“开放”,并且在安全研究人员中经常受到批评。
对于Linus Henze来说,削减明显已满,专家似乎决心不再免费为Apple工作。根据ZDNET,美国制造商的计算机安全团队已经与他联系,以获取有关安全缺陷的详细信息。但是他仍然坚决:只要没有官方奖励计划,就不会提供任何信息。“所有这些都会给人的印象是我只是为了钱而做,但这并非如此。我的动机是鼓励苹果创建一个计划漏洞赏金。我认为这是苹果和安全研究人员的最佳解决方案。我喜欢苹果产品,我想提高他们的安全性”,他向ZDNET。
在等待这场冲突得到解决的同时,应该希望海盗不会发现利用这一缺陷的手段。在这种情况下,每个人都将成为失败者。为了稍微保护自己,唯一的解决方案似乎是手工锁定默认情况下打开的文件,即“会话”和“本地元素”。或从一段时间内配置自动锁定。但是它在使用方面具有约束力,因为当用户想要连接某个地方时,有必要通知主密码。
