Исследователь безопасности показал эксплойт macOS для взлома связки ключей
Исследователь безопасности Линуз Хенце поделился видеороликом, демонстрирующим эксплойт macOS Mojave для доступа к паролям, хранящимся в связке ключей.
Приложение KeySteal, которое показано на видео, не требует прав администратора для выполнения атаки. Настройки списков контроля доступа также не имеют значения.
Эксплойт работает на компьютерах с включенной защитой целостности системы. Он может получить доступ ко всем элементам в полях «логин» и «система» связки ключей. При этом ключи iCloud не подвержены взлому, так как хранят данные другим способом.
Пользователи могут защитить себя, заблокировав связку ключей для входа в систему с помощью дополнительного пароля, но эта опция неактивна по умолчанию. Кроме того, ее неудобно использовать из-за бесконечно всплывающих окон с предложением аутентификации при использовании macOS.
Неизвестно, осведомлена ли Apple об этой проблеме безопасности macOS.
В прошлом Хенце неоднократно рассказывал об уязвимостях в iOS. Он не стал извещать Apple, а просто опубликовал видеоролик с демонстрацией экспромта в знак протеста. Разработчик призывает других хакеров и исследователей публично сообщать о проблемах безопасности Mac. Таким образом он хочет оказать давление на Apple, чтобы компания расширила программу вознаграждения за найденные баги в macOS.
MDlavka — наш магазин для любимых читателей. Новинки техники Apple по самым приятным ценам ждут вас каждый день с 10:00 до 21:00. Читателям Digger.ru — скидка.
3 комментария
T
T
D
D
Написать комментарий ×