Apple vil snart være medlem av "month of bugs"-klubben.
På Jan. 1, vil to sikkerhetsforskere begynne å publisere detaljer om en flom av sikkerhetssårbarheter i Apples produkter. Planen deres er å avsløre én feil per dag for hele måneden, sa de tirsdag.
Prosjektet blir lansert av en uavhengig sikkerhetsforsker, Kevin Finisterre, og en hacker kjent som LMH, som nektet å avsløre identiteten hans.
Noen av feilene "kan representere en betydelig risiko," sa LMH i et e-postintervju. «Andre har mindre innvirkning på sikkerheten. Vi prøver å utvikle fungerende utnyttelser for hvert problem vi finner.»
De to hackerne planlegger å avsløre feil i Mac OS X-kjernen så vel som i programvare som Safari, iTunes, iPhoto og QuickTime, sa LMH. Noen av feilene vil også påvirke versjoner av Apples programvare designet for å kjøre på Microsofts Windows-operativsystem, la han til.
LMH var en av hjernene bak det siste Month of Kernel Bugs-prosjektet, som avslørte feil i kjernen av flere forskjellige operativsystemer. Den var inspirert av en tidligere innsats, kalt Month of Browser Bugs, som ble startet i juli.
Dette siste Apple-prosjektet lanseres for å øke bevisstheten om sikkerhetssårbarheter i Apples produkter og for å "trampe på selvtilfredshet," sa Finisterre via e-post.
Mens Macintosh generelt anses å være sikrere enn Windows-PC, er det mange sikkerheter forskere mener at dette ryktet ikke kan tilskrives noen overlegen sikkerhetspraksis fra denne siden av Apple. De sier at angripere har blitt avskrekket av Mac OS Xs sikrere Unix-kjerne og produktets mindre utbredte bruk.
Apple-entusiaster og sikkerhetsforskere har vært uenige siden august i fjor, da David Maynor og Jon Ellch hevdet å ha oppdaget en feil som påvirket Apples trådløse enhetsdrivere. De spilte av en video på Black Hat-konferansen som demonstrerte hvordan denne feilen kunne brukes til å kjøre uautorisert kode på en MacBook. Påstandene deres har imidlertid blitt kritisert fordi demonstrasjonen brukte et tredjeparts trådløst kort i stedet for en som følger med MacBook, og fordi de to hackerne fortsatt ikke har publisert koden som ble brukt i deres angrep.
LMH sa at Apple-fellesskapets negative respons på Maynor og Ellchs påstander spilte en rolle i beslutningen om å lansere Month of Apple bugs.
"Jeg ble sjokkert over reaksjonen til noen såkalte "Apple-fans," sa han. "Jeg kan ikke forstå hvorfor noen mennesker reagerer dårlig på avsløring av problemer i deres valgsystem. … Det bidrar til å forbedre sikkerheten.»
Et lignende forsøk på å avsløre feil i Oracles programvare måtte forlates før det noen gang ble lansert forrige måned. Mannen bak Week of Oracle bugs, Cesar Cerrudo, fra Argeniss Information Security, sa at han trakk plugg når det ble klart at prosjektet kunne skade forholdet mellom en av hans kunder og Oracle. "Denne kunden innså at de kunne ha hatt alvorlige forretningsproblemer, så de ombestemte seg og ba om å kansellere det," sa han via direktemelding tirsdag.
LMH sa at han ikke forventet noen juridiske problemer fra Apple. "Jeg fortsetter å snakke med en fyr fra Apples sikkerhetsteam, og jeg er villig til å hjelpe når det er nødvendig," sa han. "Jeg er langt unna ulovlig aktivitet."
Apple på sin side så ikke ut til å være opprørt over prosjektet. "Vi tar alltid imot tilbakemeldinger om hvordan vi kan forbedre sikkerheten på Mac," sa Anuj Nayar, en Apple-talsmann.