研究人員發現macOS漏洞:可獲取使用者密碼
這個 KeySteal 漏洞可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
德國安全研究人員 Linus Henze 本週發現了一個新的 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
Linus Henze 似乎使用了一款惡意應用程式從 Mac 的鑰匙串訪問應用中提取資料,而不需要管理員許可權或管理員密碼。它可以從鑰匙串訪問應用中獲取密碼和其他資訊。
有趣的是,Linus Henze 並沒有向蘋果透露這個漏洞的細節,他說他不會發布這個漏洞,因為蘋果並沒有推出 macOS 的漏洞賞金計劃。他在給《福布斯》的一份宣告中澄清了自己的立場:“發現這樣的漏洞需要時間,我只是認為付錢給研究人員是一件天經地義的事情,因為我們正在幫助蘋果讓他們的產品更安全。”
蘋果對 iOS 系統有一個獎勵計劃,為發現漏洞的人提供資金,但對於 macOS 系統,蘋果目前並未提供類似的獎勵計劃。據瞭解,蘋果的安全團隊已經聯絡了 Henze,但是他仍然拒絕提供更多的細節,除非他們為 macOS 推出漏洞賞金計劃。據 Linus Henze 表示說:“即使看起來我這麼做只是為了錢,但這根本不是我的動機。我的動機是讓蘋果公司建立一個漏洞賞金計劃。我認為這對蘋果和研究人員都是最好的。”
另外,KeySteal 並不是研究人員在 macOS 中發現的第一個與鑰匙串訪問相關的漏洞。安全研究員 Patrick Wardle 在 2017 年展示了一個類似的漏洞,不過該漏洞已經被修復。