ウィリアム・ギャラガー
· 1分で読めます
リーナス・ヘンツェ氏は、macOSキーチェーンセキュリティソフトウェアで発見したバグに関するすべての詳細をAppleに報告したが、同社から報酬は支払われていない。ヘンツェ氏はこれまで、同社がMac向けのバグ報奨金制度を設けていないことに抗議し、情報を伏せていたが、現在ではこの問題はあまりにも重大であり、自分だけに留めておくには不十分だと主張している。
ドイツ出身のティーンエイジャー、リーナス・ヘンツェ氏は、2月初旬に実演したキーチェーンのセキュリティ脆弱性の詳細をAppleに提出した。同社がヘンツェ氏の以前の要求を無視していたにもかかわらず、提出は行われた。ヘンツェ氏は、発見したバグが「非常に重大であり、macOSユーザーのセキュリティは私にとって重要だ」ため、詳細をAppleに開示することに決めたと述べている。
キーチェーンの脆弱性を@Appleに報告することにしました。反応はなかったものの、これは非常に重大な問題であり、macOSユーザーのセキュリティは私にとって重要なので、パッチを含む詳細情報を送信しました。もちろん無料でお送りします。
— ライナス・ヘンゼ (@LinusHenze) 2019 年 2 月 28 日
18歳のヘンゼ氏は、Mojaveのキーチェーンセキュリティ機能に保存されているパスワードをアプリが閲覧できるmacOSのバグを発見した。彼はそのバグを実証するために「KeySteal」というアプリを開発したが、当初はAppleへの報告を拒否していた。ヘンゼ氏は、AppleがiOSとは違い、macOSにはバグ報奨金プログラムを設けていないことに抗議していた。
「パッチを含む詳細情報を直ちに提出する用意があります」と、同氏は2月5日付の同社宛てのメールで述べた。「Appleの公式担当者が、なぜAppleがmacOS向けのバグ報奨金プログラムを実施していないのか、また実施する意思がないのかを公式(かつ妥当な!)な声明で説明してくれるのであれば」
アップルはヘンゼ氏に連絡を取り、彼の発見について尋ねたものの、要求内容については協議しなかった。2月8日、ヘンゼ氏は再度メールを送り、条件を改めて伝えたが、返答はなかったようだ。
悪意のあるアプリがこの脆弱性を悪用したという報告はないが、AppleInsiderは、懸念のあるユーザーはログインキーチェーンに追加のパスワードを追加することで安全を確保できると説明している。
AppleはiOSのセキュリティ問題を発見した研究者向けにバグ報奨金プログラムを実施しているが、他の企業に比べるとこのプログラムもケチだと言われている。
