Sponsored Contents

appleの最新記事

Image credit:
Save

macOS Mojaveのキーチェーン脆弱性を発見した学生、アップルに無償で協力

macOSにバグ報奨金プログラムがないことが問題視されてます

Kiyoshi Tane
2019年3月4日, 午後02:50 in apple
122シェア
12
110
0

連載

注目記事

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機
12

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機

Ittousai, 10月11日
View

designer491 via Getty Images

macOS Mojaveのキーチェーン脆弱性を発見した18歳の学生が報奨金なしに、アップルに詳細な全情報および修正パッチを提供したと報じられています。

キーチェーンとは、パスワードやアカウント情報を管理するmacOSアプリのこと。ユーザーが記憶および管理するパスワードを減らすとともに、個人情報やセキュリティを守る要とも言えます

ドイツの学生Linus Henze氏は、キーチェーンに格納されたパスワードを管理者権限なしに引き出せる脆弱性を発見。これを実証するアプリ「KeySteal」が、キーチェーン用のパスワードを要求されることなくTwitterやFacebookのパスワードを盗み出す動画をYouTubeに公開しました。



この報告を知ったアップルは、Henze氏にバグの詳細を教えるよう連絡を取ってきたとのこと。それに対してHenze氏が釣り合いの取れた報酬を受け取れるなら協力すると返信したところ、アップルは応答しなかったとされています。

なぜHenze氏がことさらに報奨金を求め、それにアップルが応じなかったかといえば、macOSにはセキュリティ脆弱性を報告すると報酬が受け取れる制度が存在しないからです。2016年8月から開始されたバグ報奨金プログラムはiOSのみに限られており、アップルはmacOSのセキュリティを軽視しているのではないかと批判を集めていた経緯があります。

そこでHenze氏は、なぜアップルがMacユーザーにバグ報奨金プログラムを提供していないのか、公式声明を求めるメールを送付。もし回答があれば、喜んで脆弱性の詳細とパッチを提供するとの文面を、Twitter上でも公開しました。


が、この公開書簡もアップルに黙殺される結果に。そこでHenze氏は、macOSユーザーのセキュリティは自分にとって大切だからとキーチェーン脆弱性の全情報とパッチを同社に無償で送ったと報告したしだいです。
Henze氏の行いに対してはTwitter上で多くの感謝と賞賛が集まっていますが、結果としてはmacOS向けのバグ報奨金プログラムがなぜ設置されないのか不明なままで、アップルがmacOSユーザーのセキュリティを軽視しているかのような現状が維持されたままと言えます。

先日のグループFaceTimeバグを発見した親子に対しても、アップルは当初は冷淡な態度を取り、後にメディアが取り上げてから一転して少年の教育費を援助すると申し出ていました。

今回の脆弱性報告は、macOSそのもののバグ報奨金プログラムが欠落しているためアップルも対応を躊躇ったとも推測されます。Macユーザーにとって有益な働きをした人物が、正当に報われることを祈りたいところです。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

Via: 9to5Mac
関連キーワード: apple, bugbounty, MacOs, macosmojave, security
122シェア
12
110
0

Sponsored Contents