Jednym ze sposobów na poprawę bezpieczeństwa systemu operacyjnego jest prowadzenie programu „Bug Bounty”, w ramach którego za wykrycie i zgłoszenie do producenta nieznanej wcześniej luki zagrażającej integralności i bezpieczeństwu systemu, wyznaczana jest nagroda. Apple prowadzi taki program dla systemu iOS, niestety w przypadku macOS, nie przewidziane są nagrody.
W ostatnich dniach pojawiły się doniesienia, że w aplikacji Keychain służącej do przechowywania danych kont i haseł znaleziono poważną lukę, której wykorzystanie daje dostęp do informacji…
Podatność wykryta przez Linusa Henze (zgłaszającego już wcześniej różnego rodzaju błędy, przez co w środowisku IT uchodzi za osobę wiarygodną) została zaprezentowana na poniższym filmie, ale nie ujawniono szczegółów i nie zostały one przesłane do Apple:
Badacz chce w ten sposób wyrazić protest, by osoby zajmujące się bezpieczeństwem były wynagradzane za swoją pracę. Póki co tajemnicą jest, o jaki dokładnie błąd chodzi i jakie są szczegóły ataku. Wiadomo jedynie, że exploit pozwala na dostęp do aplikacji Keychain w macOS, ale nie dotyczy to na szczęście informacji zgromadzonych w iCloud. Jedynym wymogiem jest to by Keychain był odblokowany. Niestety dzieje się tak bardzo często domyślnie, gdy użytkownik zaloguje się na swoje konto.
Czas pokaże jak sytuacja się rozwinie. Jak donosi serwis ZDNet[1], eksperci Apple kontaktowali się z Henze, jednak ten nie udzielił żadnych dodatkowych informacji, zaznaczając, że nie zmieni się to do czasu uruchomienia programu Bug Bounty obejmującego macOS. Dodał przy tym, że robi to również dla innych badaczy, którzy nie są wynagradzani za swoje odkrycia, a co przyczynia się do łatania czasami poważnych luk.
Even if it looks like I’m doing this just for money, this is not my motivation at all in this case,” Henze told ZDNet today. „My motivation is to get Apple to create a bug bounty program. I think that this is the best for both Apple and Researchers.”
[1] https://www.zdnet.com/article/new-macos-zero-day-allows-theft-of-user-passwords/
