Vid macOS のパスワードを不正に変更するバグを発見した人物は、この技術界の巨人が脆弱性研究者に適切な補償を行うことに同意するまで、欠陥の詳細を Apple に明かさないと述べた。
ドイツを拠点とするフリーランスのバグハンター、リーナス・ヘンツェ氏によると、このセキュリティ上の脆弱性は、Mac上で動作するマルウェアやその他の怪しいアプリによって悪用され、被害者のキーチェーンからパスワード、秘密鍵、トークンを盗み取られる可能性があるとのことです。理想的には、プログラムが例えばFacebookやGitHubのログイン情報を盗み取ることは不可能であるべきです。最新バージョンのmacOSでこの脆弱性を実証する動画はこちらです。
YouTubeビデオ
「この動画では、macOS Mojave以前のバージョンで(ローカル)キーチェーンのパスワードをすべて抽出できるゼロデイ脆弱性を悪用するエクスプロイトを紹介します」とヘンゼ氏は動画の説明欄に記している。「もちろん、ルート権限や管理者権限は不要で、パスワード入力も不要です。」
この脆弱性は、著名なMacセキュリティの第一人者であるパトリック・ウォードル氏がヘンゼ氏の脆弱性のコピーを入手して確認、検証したが、欠陥の詳細は公表されておらず、アップル社にも知らされていない。
なぜなら、ヘンゼ氏は、Apple がより人気の高い iOS モバイル プラットフォーム向けに運営している極秘の招待制バグ報奨金プログラムに macOS を含めることに同意するまで、特にクパチーノに対して脆弱性に関する詳細を一切公表することを拒否しているからだ。
現在、AppleはiOSの脆弱性を報告したセキュリティ研究者に報酬を支払っていますが、Mac OSのバグについては支払っていません。ヘンゼ氏はこの状況を変えたいと考えており、最新のゼロデイ脆弱性の発見をその手段として活用しています。
「これは公開しません」と彼はエクスプロイトコードについて語った。「理由は簡単です。AppleはまだmacOSのバグ報奨金プログラムを実施していないので、彼らのせいです。」
ヘンゼ氏はThe Registerに対し、これは欲からではなく、自分や他のmacOSバグハンターがAppleから当然の評価を受けられることを願っているからだと語った。そのため、キーリングの脆弱性に対する価格については明言を避けた。
ソニーのゼロデイ脆弱性をこれ以上探し出して報告する気にはなれない。得られるのはただのひどいTシャツだけだからだ。
続きを読む
「私の動機は、Appleにバグ報奨金プログラムを作ってもらうことです。これがAppleと研究者双方にとって最善だと考えています」と彼は語った。
「私はApple製品が大好きで、もっと安全にしたいと思っています。そして、Apple製品をさらに安全にする最善の方法は、他の大企業が既に導入しているようなバグ報奨金プログラムを導入することだと私は考えています。」
ヘンゼ氏だけが、ひどいバグ報奨金プログラムに不満を抱いているわけではない。今週、ソニーのウェブアプリケーションに重大な脆弱性2件を発見した研究者は、The Register紙に対し、この大手エレクトロニクス企業が脆弱性報告に対して無料の衣料品しか報酬として提供していないため、同社のウェブサイトのさらなる調査を断念したと語った。
「でも少なくともTシャツはもらえたよ」とヘンゼ氏は以前の記事に触れて冗談を言った。「アップルは私に何もくれなかったんだ」
Appleはコメント要請に応じなかった。最新の四半期決算によると、クック氏率いるAppleは毎日2億2200万ドルの利益を上げている。その利益の一部を、ファンの命を救う研究者に投じることは、一部の人にとっては魅力的な投資に見えるかもしれない。しかし、どうだろう?®
