Recentemente, o pesquisador de segurança Linus Henze encontrou uma falha no macOS Mojave que dá acesso às senhas armazenadas no Acesso às Chaves.
Nós já comentamos os detalhes do bug em si, bem como o descontentamento de Henze com a Apple por um motivo simples e justo: atualmente, o programa de recompensas (o qual remunera hackers que encontram bugs e relatam tudo para a empresa) da Maçã é 100% focado no iOS; ou seja, por mais que alguém encontre um bug altamente grave no macOS e passe todas as informações para a Apple, não receberá nem um dólar por isso. Por conta desse insatisfação, o pesquisador decidiu não compartilhar os detalhes da sua pesquisa.
Até aí, nenhuma novidade. Contudo, há alguns dias a Apple resolveu entrar em contato com Henze, perguntando se ele enviaria os detalhes do exploit. Ele, então, fez uma oferta — a meu ver, bastante justa — para a empresa: entregaria todos os detalhes, inclusive um patch com a correção do problema para que a empresa possa corrigir tudo de forma bem rápida, sob a condição de alguém na Apple enviar uma resposta oficial explicando o motivo de não existir um programa de recompensas para o macOS.
On Tuesday @Apple contacted me and asked me if I would send them the details about my exploit. I told them that I would if they accept my offer. However, I’ve got no response from them. Today I wrote them again. Attached is an image of what I wrote. pic.twitter.com/GcNv8VQISH
— Linus Henze (@LinusHenze) 8 de fevereiro de 2019
Ainda que o objetivo de Henze seja receber por seu trabalho, o pesquisador não solicitou uma recompensa financeira nem nada. O que ele queria era escutar da empresa o que muitos hackers também gostariam já que, ao criar um programa de recompensas apenas focado no iOS, a mensagem clara que fica nas entrelinhas é que apenas a segurança desses usuários importa.
Henze questionou a Apple uma vez e não obteve resposta; dias depois, enviou um novo email e… nada. A declaração não veio, mas Henze decidiu compartilhar as informações mesmo assim pois acredita que a segurança dos usuários do macOS é mais importante do que qualquer outra coisa.
I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.
— Linus Henze (@LinusHenze) 28 de fevereiro de 2019
Como o 9to5Mac disse, é uma pena que a Apple não tenha ao menos reconhecido o erro de não oferecer um programa desses — algo absolutamente normal em qualquer empresa de tecnologia. Eu não me surpreenderia, contudo, se muito em breve a empresa declarar que está criando algo do tipo.