Saksa turvateadlane Linus Henze avastas sel nädalal uue nullpäevase macOS-i haavatavuse nimega 'KeySteal', mida saab kasutada, nagu allolevas videos demonstreeritud, kasutada kõigi võtmehoidja rakendusse salvestatud tundlike andmete juurde pääsemiseks.
Näib, et Henze kasutab Maci võtmehoidja rakendusest andmete eraldamiseks pahatahtlikku rakendust, ilma et oleks vaja administraatori juurdepääsu või administraatori parooli. See võib hankida võtmehoidjalt paroole ja muud teavet, aga ka teiste macOS-i kasutajate paroole ja üksikasju.
mophie powerstation usb-c 3xl aku
Henze ei ole Apple'iga selle ärakasutamise üksikasju jaganud ja ütleb, et ta ei avalda seda, kuna Apple'il pole macOS-i jaoks saadaval ühtegi vigade hüvitamise programmi. 'Nii et süüdistage neid,' kirjutab Henze video kirjelduses. Avalduses, et Forbes , täpsustas Henze oma seisukohta ja ütles, et haavatavuste avastamine võtab aega.
'Selliste haavatavuste leidmine võtab aega ja ma lihtsalt arvan, et teadlastele maksmine on õige asi, mida teha, sest aitame Apple'il muuta nende toode turvalisemaks.'
Apple'il on iOS-i jaoks preemiaprogramm, mis pakub raha vigade avastajatele, kuid macOS-i vigade eest sarnast maksesüsteemi pole.
Saksa saidi järgi Heise Internetis , mis rääkis Henzega, võimaldab see ärakasutamine juurdepääsu Maci võtmehoidja üksustele, kuid mitte iCloudi salvestatud teabele. Võtmehoidja peab olema ka lukust vabastatud, mis juhtub vaikimisi, kui kasutaja logib Macis oma kontole sisse.
Võtmehoidja saab lukustada, avades rakenduse Keychain, kuid administraatori parool tuleb sisestada alati, kui rakendus vajab võtmehoidjale juurdepääsu, mis võib olla ebamugav.
Apple'i turvameeskond on Henze sõnul ühendust võtnud ZDNet , kuid ta on jätkuvalt keeldunud täiendavate üksikasjade esitamisest, välja arvatud juhul, kui nad pakuvad macOS-i jaoks vigade hüvitamise programmi. 'Isegi kui tundub, et teen seda ainult raha pärast, ei ole see antud juhul minu motivatsioon,' ütles Henze. 'Minu motivatsioon on panna Apple looma veaprogrammi. Ma arvan, et see on parim nii Apple'ile kui ka teadlastele.
See pole esimene võtmehoidjaga seotud haavatavus, mis MacOS-is avastati. Turvauurija Patrick Wardle demonstreeris 2017. aastal sarnast haavatavust, mis on parandatud.
Lemmik Postitused