Οι κωδικοί πρόσβασης Mac διατρέχουν κίνδυνο, αλλά ο έφηβος ερευνητής δεν θα πει στην Apple πώς
Ένας έφηβος ανακάλυψε μια ευπάθεια στο λειτουργικό σύστημα macOS της Apple που επιτρέπει σε έναν εισβολέα να κλέψει λεπτομέρειες σύνδεσης λογαριασμού.
Ο 18χρονος Γερμανός ερευνητής Linus Henze έχει δείξει πώς είναι δυνατόν για κακόβουλες εφαρμογές να κλέψουν κωδικούς πρόσβασης από το keychain του συστήματος τους, σε μια εκμετάλλευση που ονομάζεται KeySteal.
Στο παρακάτω βίντεο (μέσω Φορμπς), μπορείτε να δείτε τον ερευνητή να εξάγει κωδικούς πρόσβασης από το macOS παρακάμπτοντας την ανάγκη για κωδικό πρόσβασης διαχειριστή. Το αποτέλεσμα είναι εκτεθειμένα στοιχεία σύνδεσης για έναν αριθμό λογαριασμών, που εμφανίζονται σε απλό κείμενο.
Η εκμετάλλευση είναι ακόμη ενεργή macOS Mojave, η νεότερη έκδοση του λειτουργικού συστήματος επιτραπέζιου υπολογιστή της Apple.
Ωστόσο, ο εισβολέας δεν μοιράζεται τον τρόπο με τον οποίο λειτουργεί το exploit με την Apple ή με οποιονδήποτε άλλο. Ο νεαρός έχει πάρει την ευκαιρία να λάβει θέση ενάντια στο πρόγραμμα bug bounty της Apple, το οποίο επιβραβεύει μόνο εκείνους που βρίσκουν ελαττώματα ασφαλείας στο iOS και όχι στο macOS.
Σχετιζομαι με: Αποκαλύφθηκαν οι χειρότεροι κωδικοί πρόσβασης του 2018
Είπε στο Forbes: «Είναι σαν να μην ενδιαφέρονται πραγματικά για τα macOS. Η εύρεση τρωτών σημείων αυτού του χρόνου απαιτεί χρόνο και νομίζω ότι η πληρωμή των ερευνητών είναι το σωστό πράγμα γιατί βοηθάμε την Apple να κάνει το προϊόν τους πιο ασφαλές. "
Η ανακάλυψη έρχεται σύντομα αφού ένας 14χρονος ανακάλυψε ότι το FaceTime υποκύπτει σφάλμα και το ανέφερε στην Apple, λίγες μέρες πριν η εταιρεία το αναγνωρίσει δημοσίως.
ο Ομαδικό σφάλμα FaceTime κατέστησε δυνατό για τους χρήστες να ακούσουν ή ακόμα και να δουν ένα άλλο άτομο στην κλήση προτού την απαντήσουν. Η Apple δεν έχει ακόμη κυκλοφορήσει τη διόρθωση για το σφάλμα, αλλά στο μεταξύ έχει απενεργοποιήσει τη δυνατότητα Group FaceTime. Η εταιρεία λέει ότι η νέα έκδοση του iOS, η οποία σκουπίζει το σφάλμα, θα είναι εδώ αυτή την εβδομάδα.
Πρέπει η Apple να διανείμει τα μετρητά σε ερευνητές που εντοπίζουν επίσης ελαττώματα macOS; Ή μήπως ο ερευνητής θέτει σε κίνδυνο αθώους χρήστες Mac μη αποκαλύπτοντας τις μεθόδους του; Ενημερώστε μας @TrustedReviews στο Twitter.