ロジャー・フィンガス
· 1分で読めます
ベテランのセキュリティ研究者が今週、macOSキーチェーンの新たな脆弱性の存在を明らかにしたが、バグ報奨金制度があるためAppleとは詳細を共有しないと物議を醸す発言をした。
Linuz Henze氏によると、デモアプリ「KeySteal」は、管理者権限がなくても、またシステム整合性保護やアクセス制御リストの設定の有無に関係なく、キーチェーンからログインパスワードとシステムパスワードを抽出できるという。iCloudキーチェーン内のアイテムは影響を受けないとHenze氏はHeise氏に語った。
今のところ、この脆弱性が悪用されたという報告はないが、心配な Mac ユーザーはログイン キーチェーンに追加のパスワードを追加することで自分自身を保護できる。
ヘンゼ氏の抗議は、同社のバグ報奨金プログラムがiOSのみを対象としており、macOSは対象外であるという事実に端を発している。独立した研究者は、こうした報奨金に頼ることになる可能性がある。
iOS業界内でも、Appleのプログラムは比較的ケチで、サードパーティ企業が提示する金額よりも低いと批判されています。そのような企業の一つであるZerodiumは最近、リモートで永続的な「ゼロクリック」iOS脱獄に対して、報奨金を最高200万ドルに引き上げました。Appleが支払う最高額は、プラットフォームの信頼性が危険にさらされているにもかかわらず、20万ドルです。
