Gadgets

Експертът по киберсигурност реши да се бори с Apple Greed (видео)


Специалист по сигурността Линус Хенцепублично демонстрира, че MacOS Mojave има уязвимост, която позволява, без да има администраторски или суперпотребителски права, достъп до всички имена и пароли, съхранявани в марковото приложение на Apple за съхранение на тази поверителна информация - Keychain.

Чрез KeySteal, приложение, създадено заИзползвайки тази уязвимост, Линус имаше достъп до Keychain пароли за macOS Mojave 10.14.3. Неуспехът засяга само локалния режим, а не информацията, съхранявана в iCloud. Единственият начин да се защитите е да включите паролата в Keychain или да излезете от системата след определен период на бездействие. Henze не препоръчва използването на тези параметри, тъй като потребителят ще трябва да се справя с изскачащи екрани, които ще се появяват при всяко стартиране на приложението.


Истинското решение за Apple е да издаде актуализация.системи, обаче, специалистите на компанията ще трябва да намерят “дупка”. Анализаторът подчерта, че не възнамерява да споделя информация за грешката с компанията, тъй като няма програма за възнаграждение за намиране на уязвимости в macOS. Хенце призовава колегите си да направят същото. В момента Apple предлага само сумата от $ 200,000 за онези, които откриват грешки в сигурността на мобилния iOS.

Източник: 9to5mac.com