Il ricercatore specializzato in sicurezza informatica Linuz Henze ha ceduto e ha deciso di comunicare ad Apple i dettagli sulla falla di macOS che consente di individuare le password memorizzate in Accesso Portachiavi.
Henze aveva individuato una falla in macOS Mojave, presente anche nell’ultima versione 10.14.3. In un video pubblicato su YouTube il ricercatore tedesco aveva dimostrato la possibilità di accedere alle varie password salvate in Accesso Portachiavi eseguendo una sua utility creata ad hoc.
L’esperto non aveva condiviso i dettagli sulla vulnerabilità con Apple spiegando di non averlo fatto perché la multinazionale di Cupertino non prevede ricompense o offerte ma un programma di bug bounty che premia la scoperta di vulnerabilità di questo tipo solo per quanto riguarda iOS.
Henze ha recentemente ricevuto una mail da Apple con la richiesta dei dettagli sulla vulnerabilità. “Sono disposto a indicare immediatamente i dettagli completi e fornire anche la patch se un portavoce di Apple invia una dichiarazione ufficiale (e ragionevole) sul perché non ha o non vogliono creare un programma di Bug Bounty per macOS” ha risposto il giovane ricercatore in una mail del 5 febbraio.
Apple non ha replicato e l’8 febbraio Henze ha rimandato la mail ribadendo le sue condizioni, anche questa volta senza ottenere risposta. Nonostante l’assenza di repliche da parte di Apple, il ricercatore ha alla fine deciso di condividere gratuitamente la sua scoperta. Il suo nome comparirà probabilmente nelle note di rilascio dei futuri aggiornamenti di sicurezza di macOS.
I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.
— Linus Henze (@LinusHenze) February 28, 2019
Dopo la scoperta di una vulnerabilità per quanto riguarda le chiamate FaceTime di gruppo, Apple ha promesso di rivedere il processo di ricezione e segnalazione dei bug. La speranza è che il rinnovo delle procedure di segnalazione riguardi anche macOS.
