Un ragazzo tedesco, tale Linus Hanze, ha informato Apple di tutti i dettagli relativi a un bug di sicurezza di Portachiavi per macOS, senza chiedere nulla in cambio perché il problema “è davvero molto grave”.
Hanze ha inviato ad Apple tutti i dettagli di un exploit da lui stesso scoperto relativo a Keychain (Portachiavi), malgrado l’azienda avesse ignorato in passato tutte le sue segnalazioni. Il ragazzo ha deciso di rivelare tutti i dettagli ad Apple perché il bug “è molto critico e perché la sicurezza degli utenti macOS è molto importante per me“.
Il diciottenne aveva scoperto un bug in macOS che consentiva alle app di vedere le password contenute nel portachiavi di Mojave. Hanze ha sviluppato un’app chiamata KeySteal per dimostrarlo, ma inizialmente si è rifiutato di informare Apple per protestare sul fatto che l’azienda non ha un programma Bug Bounty per macOS, presente invece su iOS.
Al momento non sono stati riportati casi di app terze che hanno sfruttato questo bug. Apple dovrebbe correggerlo con un prossimo update.