Nemecký bezpečnostný výskumník Linus Henze tento týždeň objavil novú zraniteľnosť systému MacOS zero-day s názvom „KeySteal“, ktorú, ako je demonštrované vo videu nižšie, možno použiť na získanie všetkých citlivých údajov uložených v aplikácii Keychain.
Zdá sa, že Henze používa škodlivú aplikáciu na extrahovanie údajov z aplikácie Keychain na Macu bez potreby prístupu správcu alebo hesla správcu. Dokáže získať heslá a ďalšie informácie z Keychain, ako aj heslá a podrobnosti pre ostatných používateľov systému macOS.
aká je najnovšia aktualizácia Apple
Henze nezdieľal podrobnosti o tomto exploite s Apple a hovorí, že ho nezverejní, pretože Apple nemá k dispozícii žiadny program odmeňovania chýb pre macOS. 'Tak ich obviňujte,' píše Henze v popise videa. Vo vyhlásení k Forbes , Henze objasnil svoju pozíciu a povedal, že odhalenie zraniteľností si vyžaduje čas.
'Hľadanie zraniteľností, ako je táto, si vyžaduje čas a myslím si, že platiť výskumníkov je správna vec, pretože pomáhame spoločnosti Apple zvýšiť bezpečnosť ich produktu.'
Apple má program odmeňovania pre iOS, ktorý poskytuje peniaze tým, ktorí objavia chyby, ale neexistuje podobný platobný systém pre chyby macOS.
Podľa nemeckej stránky Heise Online , ktorý hovoril s Henze, exploit umožňuje prístup k položkám Mac Keychain, ale nie k informáciám uloženým v iCloude. Kľúčenka musí byť tiež odomknutá, čo sa štandardne stane, keď sa používateľ prihlási do svojho účtu na počítači Mac.
Kľúčenku je možné uzamknúť otvorením aplikácie Keychain, ale potom je potrebné zadať heslo správcu vždy, keď aplikácia potrebuje získať prístup k Keychain, čo môže byť nepohodlné.
Bezpečnostný tím Apple sa podľa neho obrátil na Henze ZDNet , ale naďalej odmieta poskytnúť ďalšie podrobnosti, pokiaľ neposkytnú program odmeny za chyby pre macOS. 'Aj keď to vyzerá, že to robím len pre peniaze, v tomto prípade to vôbec nie je moja motivácia,' povedal Henze. „Mojou motiváciou je prinútiť Apple, aby vytvoril program odmeny za chyby. Myslím si, že je to to najlepšie pre Apple aj výskumníkov.“
Toto nie je prvá zraniteľnosť súvisiaca s kľúčenkou objavená v systéme macOS. Bezpečnostný výskumník Patrick Wardle predviedol podobnú zraniteľnosť v roku 2017, ktorá bola opravená.
Populárne Príspevky