Grave falla nel Portachiavi macOS, ma si rifiutano di divulgarla

Un ricercatore di sicurezza ha individuato una gravissima falla in macOS. Ma non intende divulgarla perché Apple non ha in essere programmi di ricompense.

Linus Henze, un ricercatore tedesco, ha scoperto una vulnerabilità in macOS chiamata "KeySteal" che può essere usata per estrapolare dati dal Portachiavi del computer senza conoscere la password di amministratore. È un incubo fatto realtà, ma c'è di peggio.

Henze infatti non ha divulgato le informazioni sulla tecnica utilizzata, né ha intenzione di farlo per una sporca questione di grana. "Trovare vulnerabilità come queste richiede parecchio tempo," si legge nella descrizione del video. "E penso che pagare i ricercatori sia la giusta cosa da fare perché aiutiamo Apple a rendere più sicuri i propri prodotti." E poiché la mela non ha un programma di ricompense per le falle di macOS -a differenza di iOS- "date la colpa a loro."

Per questa ragione, non conosciamo i dettagli di questo bug. Si sa solo che consente di leggere i dati del Portachiavi locale, ma non quelli su iCloud (dunque, ipotizziamo, con Portachiavi iCloud il problema sarebbe risolto?); inoltre, per l'accesso fraudolento è necessario che il Portachiavi sia prima stato sbloccato, cosa che tipicamente avviene dopo il login dell'utente. Per il resto è un mistero, e in teoria, nessuno dovrebbe poter scaricare in chiaro i dati del Portachiavi senza conoscere la password dell'account che l'ha generato.

Vedremo come andrà a finire. "Anche se sembra che lo faccia solo per denaro" ha spiegato Henze, "non è affatto questa la motivazione che mi spinge. La mia motivazione è di ottenere che Apple crei un programma di ricompense. Credo che questa sarebbe la soluzione migliore per Apple e i ricercatori." Intanto, gli utenti attendono.

  • shares
  • +1
  • Mail