MARKETY.RU
Бронирование отелей     Авиабилеты

В macOS обнаружена серьезная уязвимость



Исследователь компьютерной безопасности из Германии Линус Хенце обнаружил опасную дыру в операционной системе macOS. Эта уязвимость позволяет злоумышленникам похищать пароли пользователя компьютера Apple. Но так как компания не хочет платить за ошибки в macOS сторонним экспертам, остается большим вопросом, кто первым узнает про уязвимость, разработчики ОС или другие хакеры.

Восемнадцатилетний специалист нашел способ извлечения паролей, логинов и другой секретной информации из KeyChain ― «связки ключей», зашифрованного хранилища macOS для конфиденциальных данных. Следовательно, злоумышленники могут получить доступ ко всей синхронизируемой информации на Маке или iPhone. Уязвимость получила название KeySteal и ей подвержены все версии операционной системы вплоть до macOS 10.14.3 Mojave. Хенце записал и опубликовал специальное видео, в котором показано как можно эксплуатировать обнаруженную уязвимость.

 

В macOS обнаружена серьезная уязвимость

 

Информацию из KeyChain можно извлекать без привилегий администратора и даже не запрашивая разрешения пользователя. Таким образом, обладатель компьютера Apple может и не заметить, что все его пароли, банковские данные и другая информация похищена. Чтобы уязвимость сработала, нужно загрузить специальное приложение, например, с веб-сайта.

Линус Хенце не опубликовал подробного описания обнаруженной проблемы и не намерен передавать эти данные Apple. Как молодой специалист объяснил Forbes, Apple платит вознаграждение только за баги и уязвимости в iOS, а за недостатки в macOS баунти не выплачиваются. Поэтому подросток, обнаруживший в iOS уязвимость, позволявшую шпионить через FaceTime, получил от Apple соответствующий гонорар. А Линус Хенце вознаграждения не получит (а Apple не получит важной информации).

В данный момент найденная уязвимость еще не закрыта. По словам Хенце, поведение Apple выглядит странно и нелогично. Поиск уязвимостей и ошибок в операционной системе требует много времени и высокой квалификации. Но все выглядит так, что Apple мало заботит безопасность ее десктопной операционной системы.

Хенце рекомендует вручную установить пароль на KeyChain. Это неудобно, каждый раз, когда какая-то программа захочет получить доступ к паролю из хранилища, пользователю придется вручную вводить мастер-пароль. Но альтернативы нет до тех пор, пока Apple не закроет эту уязвимость.



2019-02-06 .. cifrovik.ru






Рейтинг@Mail.ru


0 | 0.00082707405090332