Hasła do komputerów Mac są zagrożone, ale nastoletni badacz nie powie Apple, jak to zrobić
Nastolatek odkrył lukę w systemie operacyjnym MacOS firmy Apple, która umożliwia atakującemu kradzież danych logowania na konto.
18-letni niemiecki badacz Linus Henze zademonstrował, w jaki sposób złośliwe aplikacje mogą kraść hasła z pęku kluczy systemu w ramach exploita o nazwie KeySteal.
Na poniższym filmie (za pośrednictwem Forbes), możesz zobaczyć, jak badacz wyodrębnia hasła z macOS, pomijając potrzebę hasła administratora. Rezultatem są ujawnione dane logowania dla wielu kont, wyświetlane w postaci zwykłego tekstu.
Exploit można nawet wykonać na macOS Mojave, najnowsza wersja systemu operacyjnego Apple na komputery stacjonarne.
Jednak haker nie udostępnia informacji o tym, jak exploit działa, firmie Apple ani nikomu innemu. Młodzieniec skorzystał z okazji, aby przeciwstawić się programowi nagród za błędy firmy Apple, który nagradza tylko tych, którzy znajdą luki w zabezpieczeniach systemu iOS, a nie macOS.
Związane z: Ujawniono najgorsze hasła 2018 roku
Powiedział Forbesowi: „To tak, jakby tak naprawdę nie obchodziło ich macOS. Znalezienie luk w zabezpieczeniach, takich jak ta, wymaga czasu i po prostu uważam, że płacenie badaczom jest właściwą rzeczą, ponieważ pomagamy Apple w zwiększaniu bezpieczeństwa ich produktów ”.
Odkrycie nastąpiło wkrótce po tym, jak 14-latek podobno odkrył błąd podsłuchiwania FaceTime i zgłosił go Apple na kilka dni przed tym, jak firma publicznie to potwierdziła.
Plik Grupowy błąd FaceTime umożliwił użytkownikom odsłuchanie, a nawet zobaczenie innej osoby podczas rozmowy, zanim ją odebrano. Firma Apple nie wydała jeszcze poprawki błędu, ale w międzyczasie wyłączyła funkcję Group FaceTime. Firma twierdzi, że nowa wersja iOS, która usuwa błąd, będzie dostępna w tym tygodniu.
Czy Apple powinien przekazać pieniądze badaczom, którzy również zidentyfikują wady macOS? A może badacz naraża niewinnych użytkowników komputerów Mac na ryzyko, nie ujawniając swoich metod? Daj nam znać @TrustedReviews na Twitterze.