"Io lo so, ma non te lo dico!", concludeva una famosa pubblicità degli anni '80, che sembra ora essere stata riesumata da Linus Henze, giovane ricercatore tedesco che avrebbe scoperto un bug piuttosto grave sulla versione più recente di MacOS Mojave, rifiutandosi però di collaborare con Apple, come forma di protesta contro la scelta dell'azienda di ricompensare solo chi trova bug su iOS.
"Scovare vulnerabilità di questo tipo richiede tempo, credo quindi che sia giusto pagare i ricercatori visto che aiutiamo Apple a rendere più sicuri i propri prodotti", ha spiegato Henze.
L'exploit, chiamato KeySteal, consentirebbe di sottrarre le password memorizzate sul sistema, in PortaChiavi, senza bisogno di richiedere i privilegi di amministratore. L'attacco, illustrato da Henze sul proprio canale YouTube, sembrerebbe funzionare anche su macchine con System Integrity Protection attivo, mentre le password custodite su iCloud sembrerebbero al sicuro.
Al momento non c'è stato alcun commento ufficiale da parte di Apple, né sul bug in sé, né sulle critiche espresse da Henze. Pochi giorni fa un altro giovanissimo ricercatore aveva segnalato la presenza di un bug in FaceTime, che consentiva di ascoltare l'audio del destinatario della chiamata, prima ancora che questi rispondesse. Pochi giorni dopo Apple dichiarava che un fix sarebbe stato approntato a breve, senza aggiungere altro. Succederà anche in questo caso?