В macOS найден «чудесный баг», о котором Apple не узнает из-за своей скупости. Видео
06 фев 2019 19:40 #76859
от ICT
ICT создал тему: В macOS найден «чудесный баг», о котором Apple не узнает из-за своей скупости. Видео
Находка Хенце Восемнадцатилетний исследователь безопасности из Германии Линус Хенце (Linus Henze) нашел в macOS уязвимость, которая дает возможность хакеру получить учетные данные пользователей. Данные извлекаются из так называемой «связки ключей» (KeyChain) — программы macOS, где хранятся логины и пароли, в том числе от банковских сайтов, мессенджеров и т. д. Уязвимость получила название KeySteal. Она распространяется на все версии macOS до 10.14.3 Mojave включительно. Хенце выложил видео, где показан пример эксплуатации бага. Исследователь отметил, что проблема затрагивает не только стандартный KeyChain, но и те связки ключей, которые созданы пользователями. Если человек использует iCloud KeyChain, в опасности могут оказаться пароли, синхронизированные на iPhone и Mac. Хенце сумел создать приложение, которому удалось с помощью KeySteal прочитать содержимое KeyChain, не запрашивая разрешения пользователя. Специальных привилегий вроде доступа уровня администратора также не понадобилось. Доставить это приложение на компьютер жертвы можно внутри другого приложения или с помощью ссылки на веб-страницу с загрузкой, полагает Хенце. Отказ от сотрудничества с Apple Детального описания уязвимости Хенце не привел. Связываться с Apple и сообщать ей подробности проблемы исследователь не собирается. В беседе с изданием Forbes он объяснил, почему: компания не выплачивает баунти за обнаружение уязвимостей в macOS, выплаты полагаются только в случае iOS. На счету исследователя уже есть ряд уязвимостей, открытых им в последнее время в iOS и macOS. «Выглядит так, как будто они не заботятся на самом деле о macOS. Обнаружение уязвимостей типа этой требует времени, и я думаю, что платить исследователям было бы правильно, потому что мы помогаем Apple делать ее продукты более безопасными», — приводит слова Хенце Forbes. В настоящее время найденная им уязвимость не закрыта.
В macOS найдена уязвимость, позволяющая похищать пароли Напомним, всего несколько дней назад другой юный исследователь, четырнадцатилетний Грант Томпсон (Grant Thompson), обнаружил серьезную уязвимость в iOS, которая позволяет шпионить за пользователем через FaceTime. Apple пообещала закрыть дыру и, предположительно, выплатила подростку гонорар по условиям своей баунти-программы для iOS. По этой программе максимальное вознаграждение составляет $200 тыс. Пример эксплуатации бага в macOS Forbes попросил специалиста по безопасности Apple Mac Патрика Уордла (Patrick Wardle) ознакомиться с уязвимостью, найденной Хенце. Уордл, бывший аналитик Агентства национальной безопасности (АНБ), был впечатлен находкой юного исследователя. «Большой респект Линусу, это чудесный баг», — так прокомментировал он открытие, добавив, что пока Apple будет разбираться с ситуацией, лично он закрывает свой Mac и пойдет лучше займется серфингом. Сам Уордл открыл похожую уязвимость в macOS в 2017 г. Меры безопасности Так как технических деталей об уязвимости Хенце не сообщил, и самостоятельно Apple ее пока тоже не закрыла, пользователям придется позаботиться о своей безопасности самим. Уордл отмечает, что лучшее средство защиты в данном случае — вручную установить пароль для KeyChain. Но это означает, что каждый раз, когда какое-либо приложение захочет на законных основаниях использовать пароль из связки ключей, пользователю придется вводить учетные данные.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Найден элегантный способ обхода штатной защиты macOS. Видео | 18.3 | Среда, 29 мая 2019 |
В новейшем релизе macOS найден вход в приватные папки пользователей | 14.33 | Четверг, 14 февраля 2019 |
Канадец разработал экзоскелет, в котором можно приподнимать машины без домкрата (ВИДЕО) | 11.59 | Вторник, 26 января 2016 |
Apple переименует OS X обратно в MacOS | 11.36 | Понедельник, 18 апреля 2016 |
Apple представила macOS Sierra и iOS 10 | 11.36 | Понедельник, 13 июня 2016 |
Apple представила iOS 11 и macOS High Sierra | 11.24 | Понедельник, 05 июня 2017 |
Apple представила обновленные версии iOS и macOS | 11.24 | Вторник, 05 июня 2018 |
Три критические «дыры» в macOS случайно нашлись при проверке Dropbox на уязвимости. Видео | 11.15 | Пятница, 23 ноября 2018 |
Найден способ взломать блокировку iPhone за 15 секунд. Видео | 11.12 | Пятница, 18 августа 2017 |
Найден способ изменять чужие сообщения в WhatsApp. Видео | 11.12 | Пятница, 10 августа 2018 |