Linus Henze informierte Apple über alle Details zu einem Fehler, den er im macOS Schlüsselbund entdeckt hatte – und zwar ohne Bezahlung durch das Unternehmen. Er hielt die Informationen zuvor aus Protest zurück, da Apple kein Bug-Bounty-Programm für den Mac anbietet. Der Exploit sei jedoch zu gefährlich, um ihn noch länger zurückzuhalten.
Kritik an fehlendem Bug-Bounty-Programm
Der Sicherheitsforscher Linus Henze hatte Anfang Februar eine Schwachstelle im Schlüsselbund von macOS demonstriert, die auch in macOS Mojave 10.14.3 bestehen soll. So kann mit Hilfe einer manipulierten App ein Angreifer sämtliche im Schlüsselbund gespeicherten Daten auslesen.
Um die Nutzer zu schützen, hatte der Sicherheitsforscher keine Details zu dem Exploit veröffentlicht. Er hatte jedoch auch darauf verzichtet Apple über die Schwachstelle detailliert aufzuklären. Wie Henze erklärt, vermisst er ein Bug-Bounty-Programm für den Mac, bei dem der Finder für seine Hilfe entlohnt wird. Dem Sicherheitsforscher ging es hierbei nicht um einen persönlichen Vorteil, vielmehr wollte er Apple veranschaulichen, wie wichtig ein Bug-Bounty-Programm für den Mac ist. Für iOS wird ein solches Programm immerhin schon lange erfolgreich angeboten – warum dann nicht für macOS? Eine Reaktion seitens Apple blieb jedoch aus.
Obwohl sich Apple nicht kooperativ gezeigt hatte, entschied sich Henze die Diskussion um ein fehlendes Bug-Bounty-Programm nicht auf dem Rücken der Nutzer auszutragen und übermittelte dem Unternehmen nun die Details zu der von ihm aufgefundenen Sicherheitslücke, inklusive Patch. Das imponierte Apple anscheinend, so soll sich das Unternehmen anschließend bei Henze bedankt haben. Ein Kommentar zum Bug-Bounty-Programm blieb jedoch aus.
I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.
— Linus Henze (@LinusHenze) 28. Februar 2019
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
0 Kommentare