2月初，一位来自德国的18岁年轻人Linus Henze向苹果公司提交了MacOS钥匙串（Keychain）安全软件中发现的严重BUG，和全部细节。该漏洞允许别有用心的攻击者在没有管理员权限（或管理员密码）的情况下，利用该漏洞收集Mac设备上的所有敏感数据。

不过，这位德国小伙的举动是在无任何报酬下做出的。

事实上，Linus Henze本来是想要隐藏该BUG的，以抗议苹果不为MacOS平台启动Bug Bounty悬赏活动这一做法。据悉，苹果有一个针对 iOS 移动平台的奖励计划，为发现 bug 的人们提供赏金。遗憾的是，对于桌面平台的 macOS 系统，苹果并没有类似的奖励。

此前Linus Henze在接受《福布斯》采访表示，查找漏洞费心费力，向研究者支付酬劳是天经地义的，因为是在帮助苹果公司的产品变得更加安全。

2月5日，Linus Henze在发给苹果的一封电子邮件中表示：“如果苹果官方向我讲述为何苹果并不希望为macOS创建BUG Bounty计划的原因，我愿意立即向你提交完整的详细信息，包括补丁。2月8日，他再次向苹果发送电子邮件，重新陈述自己的情况，但似乎没有回应。

但最终Linus Henze意识到这个问题的严重性，同时macOS用户的安全对于他来说非常重要，因此决定不可再自己私藏。

像Linus Henze这样富有正义感的黑客并不少，在2017年的最后一夜，一名代号为“Siguza”的安全研究人员在没有通知苹果公司相关漏洞信息并完成漏洞修复的情况下，通过Github向公众披露了macOS中一个潜伏长达15年之久的零日漏洞概念证明（POC）代码细节。

Siguza披露该漏洞信息的方式在Twitter上引起了热议。

但他表示，他的主要目的是让人们能够了解到这件事情，他不会将漏洞信息出售给黑帽子黑客，因为不愿意去助长他们的恶意行为。而如果苹果公司的漏洞悬赏项目中包含macOS系统漏洞，或是该漏洞存在被恶意行为者远程利用的风险，他会选择将漏洞信息提交给苹果公司，而不是向公众披露。

2018年9月苹果公司的macOS份额从5.86％增加到6.08％，起初看起来似乎并不多，但macOS Mojave的到来很可能是跳跃的主要催化剂，这表明在苹果的生态系统中，新的操作系统版本可以加快全球采用速度。

macOS操作系统在全球市场份额中正在日渐提升，或许距离苹果为macOS平台启动Bug Bounty悬赏的日子也越来越近了。

参考来源：

• cnBeta.COM

• 安全内参

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com