莱纳斯·亨泽(Linus Henze)属于比较固执的类型。这位安全研究人员刚刚在 macOS 密码库(“钥匙串”又名“钥匙串访问”)中发现了一个严重缺陷。
它允许系统上安装的任何应用程序访问有价值的密码,而无需管理员权限。这是相当严重的,因为钥匙串应用程序存储所有在线服务的密码,例如即时通讯或社交网络。它还提供对安全笔记的访问。
要利用此缺陷,攻击者只需分发受感染的应用程序并由用户安装即可。所有 macOS 版本都会受到影响,包括最新版本 (macOS Mojave 10.14.3)。为了证明这一点,专家上传了一段演示视频。
不幸的是,我们不希望在短期内看到补丁。安全研究人员拒绝将其攻击的技术细节传输给库比蒂诺公司。他向网站解释说,原因很简单海瑟德,这是因为美国公司不提供奖励计划(错误赏金)。事实上,苹果只为 iOS 上发现的缺陷付费。再说一次,要想赢得大奖,你必须成为苹果精心挑选的安全研究人员之一。一种不太“开放”的做事方式,经常受到安全研究人员的批评。
对于 Linus Henze 来说,杯子显然已经满了,这位专家似乎决心不再为苹果免费工作。根据中电网,这家美国制造商的 IT 安全团队已经联系他,了解有关安全漏洞的详细信息。但他仍然态度坚决:在正式颁奖计划出台之前不会透露任何信息。“这听起来好像我只是为了钱才这么做,但事实并非如此。我的动机是鼓励苹果公司创建一个计划错误赏金。我认为这对于苹果和安全研究人员来说都是最好的解决方案。我喜欢 Apple 产品并希望提高其安全性 »,他解释说中电网。
在这一冲突得到解决之前,我们必须希望盗版者不会反过来找到利用这一缺陷的方法。在这种情况下,大家都会输。为了保护自己,唯一的解决方案似乎是手动锁定默认打开的文件夹,即“会话”和“本地项目”。或者设置从某个时间开始自动锁定。但它在使用方面受到限制,因为每次用户想要连接某处时都必须输入主密码。
