Linus Henze német biztonsági kutató ezen a héten fedezte fel a „KeySteal” névre keresztelt új, nulladik napi macOS sebezhetőséget, amely az alábbi videóban bemutatott módon felhasználható a Keychain alkalmazásban tárolt összes érzékeny adat eléréséhez.
Úgy tűnik, hogy a Henze egy rosszindulatú alkalmazást használ az adatok kinyerésére a Mac Keychain alkalmazásából anélkül, hogy rendszergazdai hozzáférésre vagy rendszergazdai jelszóra lenne szüksége. Jelszavakat és egyéb információkat kaphat a Keychaintől, valamint más macOS-felhasználók jelszavait és adatait.
hogyan állíthatom vissza az airpod gyári beállításait
Henze nem osztotta meg ennek a kizsákmányolásnak a részleteit az Apple-lel, és azt mondja, hogy nem adja ki, mert az Apple-nek nincs elérhető hibajavító programja a macOS számára. „Tehát hibáztasd őket” – írja Henze a videó leírásában. Egy nyilatkozatban Forbes , Henze pontosította álláspontját, és elmondta, hogy a sebezhetőségek felfedezése időbe telik.
'Az ehhez hasonló sebezhetőségek felkutatása időbe telik, és egyszerűen úgy gondolom, hogy a kutatók fizetése a helyes dolog, mert segítünk az Apple-nek termékeik biztonságosabbá tételében.'
Az Apple-nek van egy jutalomprogramja az iOS-re, amely pénzt ad a hibákat felfedezőknek, de a macOS hibákért nincs hasonló fizetési rendszer.
Német oldal szerint Heise Online , amely Henzével beszélt, az exploit hozzáférést tesz lehetővé a Mac Keychain elemeihez, de nem az iCloudban tárolt információkhoz. A kulcstartót is fel kell oldani, ami alapértelmezés szerint történik, amikor a felhasználó bejelentkezik a fiókjába Mac számítógépen.
A Keychain zárolható a Keychain alkalmazás megnyitásával, de ezután meg kell adni egy rendszergazdai jelszót, amikor egy alkalmazásnak hozzá kell férnie a Keychainhez, ami kényelmetlen lehet.
Az Apple biztonsági csapata megkereste Henzét ZDNet , de továbbra is megtagadta a további részletek megadását, hacsak nem biztosítanak hibajavító programot a macOS számára. 'Még ha úgy tűnik is, hogy ezt csak a pénzért csinálom, ebben az esetben egyáltalán nem ez a motivációm' - mondta Henze. „Az a motivációm, hogy rávegyem az Apple-t egy hibajavító program létrehozására. Úgy gondolom, hogy ez a legjobb az Apple és a kutatók számára is.
Nem ez az első kulcstartóval kapcsolatos sebezhetőség, amelyet a macOS-ben fedeztek fel. Patrick Wardle biztonsági kutató egy hasonló sérülékenységet mutatott be 2017-ben, amelyet kijavítottak.
Népszerű Bejegyzések