Mac-lösenord är i fara, men tonåringforskare kommer inte att berätta för Apple hur

En tonåring har upptäckt en sårbarhet i Apples macOS-operativsystem som gör det möjligt för en angripare att stjäla inloggningsuppgifter för kontot.

Den 18-årige tyska forskaren Linus Henze har visat hur det är möjligt för skadliga appar att stjäla lösenord från systemnyckelringen, i en exploatering som heter KeySteal.

I videon nedan (via Forbes), kan du se forskaren extrahera lösenord från macOS samtidigt som man kringgår behovet av administratörslösenord. Resultatet är exponerade inloggningsuppgifter för ett antal konton, som visas i klartext.

Utnyttjandet kan även göras på macOS Mojave, den senaste versionen av Apples stationära operativsystem.

Hackaren delar dock inte hur exploateringen fungerar med Apple eller någon annan för den delen. Den unge har tagit tillfället i akt att ta ställning mot Apples bug bounty-program, som bara belönar dem som hittar säkerhetsfel i iOS, och inte macOS.

Relaterad: De värsta lösenorden 2018 avslöjade

Han sa till Forbes: ”Det är som att de inte bryr sig om macOS. Att hitta sårbarheter som den här tar tid och jag tycker bara att betalande forskare är rätt sak att göra eftersom vi hjälper Apple att göra deras produkt säkrare. ”

Upptäckten kommer snart efter att en 14-åring enligt uppgift upptäckte FaceTime-avlyssningsfelet och rapporterade det till Apple, dagar innan företaget offentligt erkände det.

De Gruppera FaceTime-fel gjorde det möjligt för användare att lyssna på eller till och med se en annan person på samtalet innan de svarade. Apple har ännu inte släppt fixen för felet, men har inaktiverat Group FaceTime-funktionen under tiden. Företaget säger att den nya versionen av iOS, som squishar felet, kommer att vara här den här veckan.

Ska Apple överföra pengarna till forskare som identifierar macOS-brister också? Eller riskerar forskaren oskyldiga Mac-användare genom att inte avslöja sina metoder? Låt oss veta @TrustedReviews på Twitter.