ИБ-специалист из Германии, Линус Хенце (Linus Henze), опубликовал на YouTube proof-of-concept видео, демонстрирующее в работе опасную уязвимость нулевого дня в macOS. Проблема получила название KeySteal, и эксплоит для нее помогает похитить все пароли пользователя из Keychain.
Кроме этого видео Хенце не обнародовал никаких технических деталей о проблеме и, тем более, не выкладывал в открытый доступ эксплоит для уязвимости (и не собирается этого делать). В интервью местным СМИ он упомянул, что извлечь локальные пароли из Keychain и даже перезаписать содержимое Keychain-файлов, может едва ли не любое приложение для macOS, и ему даже не потребуются привилегии администратора или root. По словам Хенце, багу подвержена macOS Mojave, а с ней и более старые версии ОС.
Интересно, что при этом исследователь не сообщил о баге разработчикам Apple. Они подтвердили правдивость его заявлений уже постфактум, после публикации ролика. Также информацию об уязвимости уже подтвердил известный ИБ-эксперт Патрик Вордл (Patrick Wardle), с которым Хенце поделился копией своего эксплоита.
Почему Хенце не уведомил о проблеме Apple? Дело в том, что специалист отказался делиться данными с компанией, у которой до сих пор нет bug bounty программы для macOS. В настоящее время лишь приглашенные самой Apple специалисты могут получать вознаграждения за уязвимости, обнаруженные в составе iOS и ряде других продуктов. MacOS в этот список не входит и bug bounty для нее попросту нет.
«Хотя всё выглядит так, будто я делаю это ради денег, в данном случае у меня совсем другая мотивация. Моя мотивация: подвигнуть Apple к созданию программы bug bounty. Думаю, что так будет лучше для всех, и для Apple, и для исследователей, — объяснил журналистам Хенце.— Я очень люблю продукты Apple и хочу, чтобы они стали безопаснее».
Нужно отметить, что Apple – не единственная крупная компания, до сих пор не предлагающая специалистам достойных вознаграждений за обнаружение багов. Например, недавно издание The Register рассказывало историю бразильского ИБ-исследователя, нашедшего критические RCE-уязвимости на сайтах Sony и Sony Pictures. Хотя проблемы были крайне серьезными, эксперт отказался продолжать расследование, когда представители Sony предложили ему в качестве награды фирменную футболку компании.
«Ему хотя бы дали футболку. Apple мне ничего предлагать не хочет», — пошутил Хенце в разговоре с журналистами The Register.