本週,德國安全研究人員 Linus Henze 發現了蘋果 macOS 中一個被稱作“KeySteal”的零日漏洞,並在 YouTube 上公佈了一段影片演示。
對於別有用心的攻擊者來說,可藉助惡意手段從 Mac 上的 Keychain 應用程式來收集全部的敏感資訊,而無需管理員訪問許可權(或管理員密碼)。
Keychain 會暴露密碼和其它資訊,以及其它 macOS 使用者的密碼詳情。
鑑於蘋果沒有針對 macOS 的漏洞賞金計劃,Henze 尚未選擇向蘋果分享漏洞詳情,但表示不會輕易將細節公佈。其在描述中寫到 ——“全都怪蘋果!”(So blame them.)
他在接受《福布斯》採訪時稱,查詢漏洞費心費力,向研究者支付酬勞是天經地義的,因為我們在幫助蘋果公司的產品變得更加安全。
據悉,蘋果有一個針對 iOS 移動平臺的獎勵計劃,為發現 bug 的人們提供賞金。遺憾的是,對於桌面平臺的 macOS 系統,蘋果並沒有類似的除蟲獎勵。
德國 Heise Online 稱,該漏洞允許訪問 Mac 上 Keychain 的內容,但不能訪問儲存在 iCloud 中的資訊。
Keychain 也需要被解鎖,當用戶在 Mac 上登入他們的帳戶時,即會在預設情況下會發生。如需為 Keychain 應用加鎖,可以透過管理員密碼來開啟該 App,然後執行相關操作。
ZDNet 指出,蘋果安全團隊已經同 Henze 取得了聯絡,但後者拒絕提供更多細節,除非蘋果為 macOS 平臺提供類似 iOS 的除蟲獎勵。
【KeySteal - Stealing your keychain passwords on macOS Mojave】
Henze 辯解道:“我這麼做並不是掉進了錢眼裡,這點動機並不足以促使我這麼做。我是希望蘋果建立一個 macOS 賞金計劃,這對該公司和研究人員來說都是一件好事”。
其實,這不是 macOS 中發現的首個與 Keychain 相關的漏洞。此前,安全研究員 Patrick Wardle 也在 2017 年演示了一個類似的漏洞(已被修復)。
本週,德國安全研究人員 Linus Henze 發現了蘋果 macOS 中一個被稱作“KeySteal”的零日漏洞,並在 YouTube 上公佈了一段影片演示。
對於別有用心的攻擊者來說,可藉助惡意手段從 Mac 上的 Keychain 應用程式來收集全部的敏感資訊,而無需管理員訪問許可權(或管理員密碼)。
Keychain 會暴露密碼和其它資訊,以及其它 macOS 使用者的密碼詳情。
鑑於蘋果沒有針對 macOS 的漏洞賞金計劃,Henze 尚未選擇向蘋果分享漏洞詳情,但表示不會輕易將細節公佈。其在描述中寫到 ——“全都怪蘋果!”(So blame them.)
他在接受《福布斯》採訪時稱,查詢漏洞費心費力,向研究者支付酬勞是天經地義的,因為我們在幫助蘋果公司的產品變得更加安全。
據悉,蘋果有一個針對 iOS 移動平臺的獎勵計劃,為發現 bug 的人們提供賞金。遺憾的是,對於桌面平臺的 macOS 系統,蘋果並沒有類似的除蟲獎勵。
德國 Heise Online 稱,該漏洞允許訪問 Mac 上 Keychain 的內容,但不能訪問儲存在 iCloud 中的資訊。
Keychain 也需要被解鎖,當用戶在 Mac 上登入他們的帳戶時,即會在預設情況下會發生。如需為 Keychain 應用加鎖,可以透過管理員密碼來開啟該 App,然後執行相關操作。
ZDNet 指出,蘋果安全團隊已經同 Henze 取得了聯絡,但後者拒絕提供更多細節,除非蘋果為 macOS 平臺提供類似 iOS 的除蟲獎勵。
【KeySteal - Stealing your keychain passwords on macOS Mojave】
Henze 辯解道:“我這麼做並不是掉進了錢眼裡,這點動機並不足以促使我這麼做。我是希望蘋果建立一個 macOS 賞金計劃,這對該公司和研究人員來說都是一件好事”。
其實,這不是 macOS 中發現的首個與 Keychain 相關的漏洞。此前,安全研究員 Patrick Wardle 也在 2017 年演示了一個類似的漏洞(已被修復)。