Vācu drošības pētnieks Linuss Henze šonedēļ atklāja jaunu nulles dienas MacOS ievainojamību ar nosaukumu 'KeySteal', kuru, kā parādīts tālāk esošajā videoklipā, var izmantot, lai piekļūtu visiem sensitīviem datiem, kas glabājas lietotnē Keychain.
Šķiet, ka Henze izmanto ļaunprātīgu programmu, lai iegūtu datus no Mac datora Keychain lietotnes bez administratora piekļuves vai administratora paroles. Tas var iegūt paroles un citu informāciju no Keychain, kā arī paroles un informāciju par citiem MacOS lietotājiem.
vai iznāk jauns airpods
Henze nav dalījies ar Apple sīkāku informāciju par šo izmantošanu un saka, ka viņš to neizlaidīs, jo Apple nav pieejama kļūdu novēršanas programma MacOS. 'Tāpēc vainojiet viņus,' video aprakstā raksta Henze. Paziņojumā, lai Forbes , Henze precizēja savu nostāju un sacīja, ka ievainojamību atklāšana prasa laiku.
'Šādu ievainojamību atrašana prasa laiku, un es vienkārši domāju, ka maksāt pētniekiem ir pareizi, jo mēs palīdzam Apple padarīt viņu produktu drošāku.'
Apple ir atlīdzības programma operētājsistēmai iOS, kas nodrošina naudu tiem, kas atklāj kļūdas, taču nav līdzīgas maksājumu sistēmas par macOS kļūdām.
Saskaņā ar vācu vietni Heise tiešsaistē , kas runāja ar Henze, izmantošana ļauj piekļūt Mac Keychain vienumiem, bet ne iCloud saglabātajai informācijai. Atslēgu piekariņam ir jābūt arī atbloķētam, kas pēc noklusējuma notiek, kad lietotājs piesakās savā kontā Mac datorā.
Keychain var bloķēt, atverot lietotni Keychain, taču pēc tam ir jāievada administratora parole ikreiz, kad lietojumprogrammai ir jāpiekļūst Keychain, kas var būt neērti.
Saskaņā ar Apple drošības komanda ir sazinājusies ar Henze ZDNet , taču viņš joprojām ir atteicies sniegt papildu informāciju, ja vien tie nenodrošina macOS kļūdu novēršanas programmu. 'Pat ja šķiet, ka es to daru tikai naudas dēļ, šajā gadījumā tā nepavisam nav mana motivācija,' sacīja Henze. 'Mana motivācija ir panākt, lai Apple izveidotu kļūdu novēršanas programmu. Es domāju, ka tas ir labākais gan Apple, gan pētniekiem.
Šī nav pirmā ar Keychain saistītā ievainojamība, kas atklāta operētājsistēmā macOS. Drošības pētnieks Patriks Vordls 2017. gadā demonstrēja līdzīgu ievainojamību, kas ir izlabota.
Populārākas Posts