Исследователь безопасности показал эксплойт macOS для взлома связки ключей

Исследователь безопасности Линуз Хенце поделился видеороликом, демонстрирующим эксплойт macOS Mojave для доступа к паролям, хранящимся в связке ключей.

Приложение KeySteal, которое показано на видео, не требует прав администратора для выполнения атаки. Настройки списков контроля доступа также не имеют значения. 

Эксплойт работает на компьютерах с включенной защитой целостности системы. Он может получить доступ ко всем элементам в полях «логин» и «система» связки ключей. При этом ключи iCloud не подвержены взлому, так как хранят данные другим способом.

Пользователи могут защитить себя, заблокировав связку ключей для входа в систему с помощью дополнительного пароля, но эта опция неактивна по умолчанию. Кроме того, ее неудобно использовать из-за бесконечно всплывающих окон с предложением аутентификации при использовании macOS.

Неизвестно, осведомлена ли Apple об этой проблеме безопасности macOS.

В прошлом Хенце неоднократно рассказывал об уязвимостях в iOS. Он не стал извещать Apple, а просто опубликовал видеоролик с демонстрацией экспромта в знак протеста. Разработчик призывает других хакеров и исследователей публично сообщать о проблемах безопасности Mac. Таким образом он хочет оказать давление на Apple, чтобы компания расширила программу вознаграждения за найденные баги в macOS.

MDlavka — наш магазин для любимых читателей. Новинки техники Apple по самым приятным ценам ждут вас каждый день с 10:00 до 21:00. Читателям Digger.ru — скидка.