一18岁少年发现macOS钥匙串漏洞 决定向苹果公布细节

　　来源：cnBeta

　　在没有获得苹果任何报酬的情况下，Linus Henze还是决定向苹果公司提交有关在macOS钥匙串（Keychain）安全软件中发现的严重Bug。之前他选择隐藏该Bug细节，以抗议苹果为何不为macOS平台启动Bug Bounty悬赏活动，不过现在他认为这个问题实在是太严重了，决定不能自己私藏。

　　尽管苹果公司忽视了他之前提出的所有条件，2月初这位来自德国的18岁年轻人还是向苹果展示了钥匙串安全漏洞的全部细节。Henze表示他已经决定向苹果公司透露所有细节，因为他发现这个错误非常关键，并表示因为macOS用户的安全对于他来说非常重要。

　　在2月上旬公布的演示视频中，别有用心的攻击者可以在没有管理员权限（或管理员密码）的情况下，利用该漏洞收集Mac设备上的所有敏感数据。此前在接受《福布斯》采访表示，查找漏洞费心费力，向研究者支付酬劳是天经地义的，因为我们在帮助苹果公司的产品变得更加安全。

　　据悉，苹果有一个针对 iOS 移动平台的奖励计划，为发现 Bug 的人们提供赏金。遗憾的是，对于桌面平台的 macOS 系统，苹果并没有类似的除虫奖励。2月5日，他在发给苹果的一封电子邮件中表示：“如果苹果官方向我讲述为何苹果并不希望为macOS创建Bug Bounty计划的原因，我愿意立即向你提交完整的详细信息，包括补丁。”

　　2月8日，他再次向苹果发送电子邮件，重新陈述自己的情况，但似乎没有回应。