苹果确实为发现iOS安全问题的研究人员提供了一个Bug赏金计划
Linus Henze已将其在macOS钥匙串安全软件中发现的错误的所有详细信息通知了苹果,并且没有向公司付款。他先前隐瞒了该信息以抗议该公司缺少Mac的Bug赏金计划,但现在他说这个问题太重要了,无法自己解决。德国少年Linus Henze已向苹果发送了他于2月初演示的Keychain安全漏洞的全部详细信息,尽管公司忽略了他以前的条件,但还是这样做了。Henze表示,他决定向Apple透露细节,因为他发现的错误“非常关键,并且macOS用户的安全性对我来说很重要”。
我决定将我的钥匙串攻击提交给@Apple,尽管他们没有反应,因为这非常关键,并且因为macOS用户的安全性对我很重要。我已将包括补丁在内的全部详细信息发送给他们。当然是免费的。
这位18岁的年轻人发现了一个macOS错误 ,该错误可能使应用程序可以查看Mojave的“钥匙串”安全功能中保存的密码。他开发了一个名为KeySteal的应用程序来进行演示,但最初拒绝通知Apple。Henze抗议苹果没有像iOS那样针对macOS的Bug Bounty程序这一事实。
他在2月5日给公司的电子邮件中说:“我愿意立即向您提交包括补丁在内的全部详细信息,如果苹果公司的官方代表给我发送正式的(并且合理的!)声明,为什么苹果会这样做呢?”既不也不希望为macOS创建一个Bug赏金计划。”
苹果确实系了Henze询问了他的发现,但没有讨论他的要求。2月8日,他再次发送电子邮件,重新陈述了自己的情况,但似乎没有任何回应。
尚无关于恶意应用程序正在利用该漏洞利用的报道,但AppleInsider解释说,有关用户可以通过在登录钥匙串中添加额外的密码来确保自己的安全。
尽管苹果确实为发现iOS安全问题的研究人员提供了一个Bug赏金计划,但与其他公司相比,这甚至被称为“小气”。