|
|
本周,德国平安钻研职员 Linus Henze 发明了苹果 macOS 中一个被称作“KeySteal”的零日缝隙,并在 YouTube 上颁布了一段视频演示。对付别有居心的进犯者来讲,可借助歹意手腕从 Mac 上的 Keychain 利用步伐来采集全数的敏感信息,而无需办理员拜候权限(或办理员暗码)。
Keychain 会表露暗码和其它信息,和其它 macOS 用户的暗码详情。
鉴于苹果没有针对 macOS 的缝隙赏金规划,Henze 还没有选择向苹果分享缝隙详情,但暗示不会等闲将细节颁布。其在视频描写中写到 ——“全都怪苹果!”(So blame them.)
他在接管《福布斯》采访时称,查找缝隙操心费劲,向钻研者付出酬劳是理所当然的,由于咱们在帮忙苹果公司的产物变得加倍平安。
据悉,苹果有一个针对 iOS 挪动平台的嘉奖规划,为发明 bug 的人们供给赏金。遗憾的是,对付桌面平台的 macOS 体系,苹果并无雷同的除虫嘉奖。
德国网站 Heise Online 称,该缝隙容许拜候 Mac 上 Keychain 的内容,但不克不及拜候存储在 iCloud 中的信息。
Keychain 也必要被解锁,当用户在 Mac 上登录他们的帐户时,即会在默许环境下会产生。如需为 Keychain 利用加锁,可以经由过程办理员暗码来打开该 App,然后履行相干操作。
ZDNet 指出,苹果平安团队已同 Henze 取患了接洽,但后者回绝供给更多细节,除非苹果为 macOS 平台供给雷同 iOS 的除虫嘉奖。
KeySteal - Stealing your keychain passwords on macOS Mojave(via)
Henze 辩护道:“我这么做其实不是掉进了钱眼里,这点念头其实不足以促使我这么做。我是但愿苹果建立一个 macOS 赏金规划,这对该公司和钻研职员来讲都是一件功德”。
实在,这不是 macOS 中发明的首个与 Keychain 相干的缝隙。此前,平安钻研员 Patrick Wardle 也在 2017 年演示了一个雷同的缝隙(已被修复)。
[编译自:MacRumors]
揭阳防水便秘治療,, |
|
發表於 2019-5-16 12:55:15
收藏