研究人員發現macOS漏洞:可獲取使用者密碼
摘要:
這個 KeySteal 漏洞可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
德國安全研究人員 Linus Henze 本週發現了一個新的 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
...
這個 KeySteal 漏洞可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
德國安全研究人員 Linus Henze 本週發現了一個新的 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 使用者在鑰匙串訪問應用中儲存的所有敏感資料。
Linus Henze 似乎使用了一款惡意應用程式從 Mac 的鑰匙串訪問應用中提取資料,而不需要管理員許可權或管理員密碼。它可以從鑰匙串訪問應用中獲取密碼和其他資訊。
有趣的是,Linus Henze 並沒有向蘋果透露這個漏洞的細節,他說他不會發布這個漏洞,因為蘋果並沒有推出 macOS 的漏洞賞金計劃。他在給《福布斯》的一份宣告中澄清了自己的立場:“發現這樣的漏洞需要時間,我只是認為付錢給研究人員是一件天經地義的事情,因為我們正在幫助蘋果讓他們的產品更安全。”
蘋果對 iOS 系統有一個獎勵計劃,為發現漏洞的人提供資金,但對於 macOS 系統,蘋果目前並未提供類似的獎勵計劃。據瞭解,蘋果的安全團隊已經聯絡了 Henze,但是他仍然拒絕提供更多的細節,除非他們為 macOS 推出漏洞賞金計劃。據 Linus Henze 表示說:“即使看起來我這麼做只是為了錢,但這根本不是我的動機。我的動機是讓蘋果公司建立一個漏洞賞金計劃。我認為這對蘋果和研究人員都是最好的。”
另外,KeySteal 並不是研究人員在 macOS 中發現的第一個與鑰匙串訪問相關的漏洞。安全研究員 Patrick Wardle 在 2017 年展示了一個類似的漏洞,不過該漏洞已經被修復。