Ερευνητής ανακαλύπτει bug στο macOS αλλά αρνείται να δώσει λεπτομέρειες στην Apple

[Tilemaxx]

Ένας ερευνητής ανακάλυψε ένα exploit, το οποίο είναι ικανό να εκθέσει τους κωδικούς των χρηστών στο macOS, αλλά αρνείται να μοιραστεί τα ευρήματα τους με την Apple, διαμαρτυρόμενος για την πολιτική της εταιρίας απέναντι στους "κυνηγούς" bugs.

O Linus Henze δημοσίευσε ένα βίντεο του KeySteal exploit μέσα στην εβδομάδα, το οποίο με ένα κλικ φαίνεται ότι είναι ικανό να "αρπάζει" κωδικούς μέσου των login και system keychains, δίχως την αναγκαιότητα επιβεβαίωσης μέσω των δικαιωμάτων διαχειριστή του συστήματος. Λειτουργεί στην τελευταία έκδοση του macOS "Mojave", αλλά μέχρι στιγμής δεν φαίνεται να επηρεάζει αρχεία αποθηκευμένα στο keychain του iCloud.

Η άρνηση του Henze να βοηθήσει την Apple στο να διορθώσει το συγκεκριμένο exploit, προέρχεται από την πολιτική της εταιρίες στο να πληρώνει τους "κυνηγούς" bugs, όταν αυτοί βρίσκουν σφάλματα για το iOS, αλλά όχι για macOS. "Μοιάζει σαν να μην τους ενδιαφέρει για το macOS", δήλωσε στο Forbes. "Το να βρίσκεις τέτοιες αδυναμίες χρειάζεται αρκετό χρόνο, και θεωρώ ότι το να πληρώνονται οι ερευνητές είναι το σωστό, καθώς βοηθούμε την Apple στο να κάνει τα προϊόντα της ασφαλέστερα", κατέληξε.

Είναι η δεύτερη φορά μέσα σε δύο βδομάδες που ένας έφηβος -o Henze είναι 18- ανακαλύπτει κενό ασφαλείας σε προϊόν της Apple. Ένας 14χρονος προσπάθησε να προειδοποιήσει την Apple για ένα bug στην λειτουργία ομαδικής συνομιλία του Facetime, το οποίο επέτρεπε να "κρυφακούει" κάποιος τους άλλους συνομιλητές, προτού αυτοί απαντήσουν στην κλήση. Η Apple ανακοίνωσε ότι θα λύσει το συγκεκριμένο πρόβλημα αυτή την εβδομάδα, παραμένει όμως άγνωστο το πότε θα διορθώσει το πρόσφατο exploit του macOS.

Engadget

Διαβάστε ολόκληρο το άρθρο

[Pantelispt98]

Λογική κοτσομπόλη της γειτονιάς.......
-Έμαθα κάτι αλλά δεν μπορώ να σου πω τι.

[mordred]

Πριτς δε στο δίνω...

[dchatz]

Γιατί το βλέπετε έτσι;

Εμαθα κάτι αλλά για να στο πω πλέρωνε...έτσι το βλέπω εγω.

Αν θες βέβαια πλέρωνε, υποχρεωτικό δεν είναι, ούτε και για μένα όμως είναι υποχρεωτικό να πω κάτι άλλο.

[azuli]

σουρωτηρι..

[pcnw]

Μερικοί δεν έχουν καταλάβει ότι η Apple είναι καλή για να εισπράττει χρήματα και όχι για να πληρώνει! 

[Plapoutas]

[bluesattack]

Χωρις λεπτομερειες δεν ξερουμε αν προκειται για bug η για feature 

[vlad322]

Καινούριο feature ειναι δεν τρέχει τπτ χδ

[suffocater]

Aπο κλαρινάκι σε κλαρινάκι η "ασφαλής" apple.
😅

[billdanos]

4 minutes ago, suffocater said:

Aπο κλαρινάκι σε κλαρινάκι η "ασφαλής" apple.
😅

https://play.google.com/store/apps/details?id=com.karyaz.clarinethd&hl=en

 

[ScorpioX777]

Για να ειμαστε δικαιοι και απο την στιγμη που η Apple υποστηριζει οτι το μεγαλο ατου των λειτουργικων της ειναι η ασφαλεια επρεπε να τον πληρωσει...και εχει δικιο ο ερευνητης που λεει οτι εφοσον δεν το κανει με το MacOS δειχνει σαν να μην την ενδιαφερει...δεν μπορω να καταλαβω γιατι πληρωνει μονο στο iOS.

[ii_die_4]

Πιο σκατοετερια από την Apple δεν έχει.

Μονο να παίρνει λεφτά θέλει. Εδώ  https://bugs.chromium.org/p/chromium/issues/detail?id=841105 άλλη μια είδηση με universal XSS, που ο ερευνητής προτίμησε να το δώσει στην Google (και να πάρει 7500$) παρα στην Apple, που τελικά ήταν πρόβλημα του iOS. Διότι δεν θα έπαιρνε μπακίρα.

Επεξ/σία 8 Φεβρουαρίου 2019 από ii_die_4

[non-serviam]

Λογικό να ζητάει λεφτά. Δεν είναι κάτω από κάποια ανοικτού κώδικα άδεια το λογισμικό τους. Ούτε είναι υποχρεωμένος ο χρήστης να κάνει την δουλειά της απλ. Αν θέλει ας πληρώσει, όπως κάνουν οι πελάτες της σε αυτήν. Βέβαια από εταιρία που την κυνηγούσε πόσες μέρες ο άλλος να της αναφέρει το τραγικό bug στην εφαρμογή της και τον εκλανε, τι περιμένεις;

[Επισκέπτης]

11 λεπτά πριν, billdanos είπε

https://play.google.com/store/apps/details?id=com.karyaz.clarinethd&hl=en

ζηλευεις γιατι τετοιες εφαρμογαρες δε τις βρισκεις στο μηλοστορ