Кража паролей в обновлении Apple High Sierra может стать серьезной проблемой

Исследователь безопасности, обнаруживший ошибку MacOS High Sierra, позволяет хакерам украсть пароли и другие скрытые учетные данные пользователя из системы пользователя. Эта ошибка, как представляется, дает хакерам возможность доступа к данным Keychain в текстовом виде, не зная мастер-пароль.

Цель Keychain состоит в том, чтобы придерживаться различных учетных данных и другой секретной информации и держать ее скрытой от посторонних глаз. Как и сторонние администраторы паролей, вы должны иметь доступ к этой информации только с помощью главного пароля. С ошибкой в ​​High Sierra, похоже, что неподписанные приложения могут полностью обходить эту защиту.

Обнаруженная аналитиком и исследователем безопасности NSA Патриком Уордлом эта ошибка позволяет сбрасывать содержимое хранилища паролей Keychain, получая доступ ко всему от банковских паролей до вашего входа в Facebook в открытом виде.

Возможно, еще больше связано с тем, что эта ошибка может существовать в течение некоторого времени. Хотя было доказано, что он работает после обновления High Sierra, возможно, что он также может работать со старыми версиями MacOS.

Чтобы доказать, что эксплоит существует, Уордл создал вредоносное приложение под названием «KeychainStealer», которое с легкостью раскрыло его фальшивые данные о Bank of America, Twitter и Facebook. Хотя он не раскрыл точного метода атаки, разумно предположить, что, если он сможет понять это, другие смогут это сделать, особенно теперь, когда они знают, что это возможно.

По этой причине некоторым может не понравиться, что Уордл был прозрачен с его проблемами, хотя эта история имеет гораздо больший шанс заставить Apple исправить ошибку, чем если бы он сохранил ее сам.

Тем не менее, вполне возможно, что это объявление не совсем альтруистично. Уордл работает с Patreon, чтобы помочь в создании программного обеспечения безопасности под брендом Objective-See, поэтому это объявление должно заинтересовать его.

Вам также могут понравиться Еще от автора

Комментарии

Подписывайтесь на новости и будьте в курсе новостей Hi Tech технологий