Linus Henze ha compartido con Apple los detalles de su exploit sin obtener nada a cambio

Linus Henze ha informado a Apple de todos los detalles relativos al bug que descubrió en el software de seguridad del keychain de macOS, además lo ha hecho sin haber recibido ningún pago o recompensa por parte de la compañía. En un principio, Henze se reservó la información como protesta en contra de la compañía por no dispones de un programa de recompensas para macOS similar al Bug Bounty de iOS, pero tras un perqueño periodo de tiempo considera que el problema es demasiado grave como para no ser solucionado a corto plazo.

El adolescente alemán ha enviado a Apple todos los detalles e información relativa al exploit con el que logró burlar la seguridad del Keychain de macOS el pasado mes de febrero a pesar de la negativa de la compañía a ofrecerle una recompensa. A pesar de ello Linus publicó un tweet informando de su decisión y diciendo que la vulnerabilidad que descubrió era crítica y que lo que le llevó a tomar la decisión de compartir esa información era que le importaba la seguridad de los usuarios de macOS. 

Figura 1: KeySteal

El joven de 18 años descubrió un bug que permitía a algunas aplicaciones acceder a las contraseñas almacenadas en el Keychain de Mojave y para demostrarlo desarrolló una aplicación a la que llamó KeySteal. Una vez demostrado protestó contra la compañía californiana por no disponer de un programa de recompensas para los usuarios de Mac. En el e-mail que envió a la compañía pedía que un responsable de Apple se pusiese en contacto con él y le diese una explicación razonable de por qué no disponían de dicho programa de recompensas. Tras un tiempo Apple contactó con Henze para preguntarle acerca de su descubrimiento pero ignorando sus peticiones de hablar con un representante, a pesar de que este insistiese en varias ocasiones.