Penyelidik keselamatan Jerman Linus Henze minggu ini menemui kerentanan macOS sifar hari baharu yang digelar 'KeySteal,' yang, seperti yang ditunjukkan dalam video di bawah, boleh digunakan untuk mendapatkan semua data sensitif yang disimpan dalam apl Keychain.
Henze nampaknya menggunakan aplikasi berniat jahat untuk mengekstrak data daripada apl Rantai Kunci Mac tanpa memerlukan akses pentadbir atau kata laluan pentadbir. Ia boleh mendapatkan kata laluan dan maklumat lain daripada Rantai Kunci, serta kata laluan dan butiran untuk pengguna macOS lain.
bagaimana untuk menyemak hayat bateri pada macbook
Henze tidak berkongsi butiran eksploitasi ini dengan Apple dan mengatakan bahawa dia tidak akan mengeluarkannya kerana Apple tidak mempunyai program hadiah pepijat yang tersedia untuk macOS. 'Jadi salahkan mereka,' tulis Henze dalam penerangan video itu. Dalam satu kenyataan kepada Forbes , Henze menjelaskan kedudukannya, dan berkata untuk menemui kelemahan memerlukan masa.
'Mencari kelemahan seperti ini memerlukan masa, dan saya hanya berpendapat bahawa membayar penyelidik adalah perkara yang betul untuk dilakukan kerana kami membantu Apple menjadikan produk mereka lebih selamat.'
Apple mempunyai program ganjaran untuk iOS yang menyediakan wang kepada mereka yang menemui pepijat, tetapi tiada sistem pembayaran yang serupa untuk pepijat macOS.
Menurut laman web Jerman Heise Dalam Talian , yang bercakap dengan Henze, eksploitasi membenarkan akses kepada item Rantai Kunci Mac tetapi bukan maklumat yang disimpan dalam iCloud . Rantai kunci juga perlu dibuka kunci, sesuatu yang berlaku secara lalai apabila pengguna log masuk ke akaun mereka pada Mac.
Rantai kunci boleh dikunci dengan membuka apl Rantai Kunci, tetapi kata laluan pentadbir kemudiannya perlu dimasukkan apabila aplikasi perlu mengakses Rantai Kunci, yang boleh menyusahkan.
Pasukan keselamatan Apple telah menghubungi Henze, menurut ZDNet , tetapi dia terus enggan memberikan butiran tambahan melainkan mereka menyediakan program hadiah pepijat untuk macOS. 'Walaupun nampaknya saya melakukan ini hanya untuk wang, ini bukan motivasi saya sama sekali dalam kes ini,' kata Henze. 'Motivasi saya adalah untuk mendapatkan Apple mencipta program hadiah pepijat. Saya fikir ini adalah yang terbaik untuk Apple dan Penyelidik.'
Ini bukan kelemahan berkaitan Rantai Kunci pertama yang ditemui dalam macOS. Penyelidik keselamatan Patrick Wardle menunjukkan kerentanan serupa pada 2017, yang telah ditambal.
Jawatan Popular