現(xiàn)在位置:主頁 > 科技 > KeySteal零日漏洞曝光 研究者希望蘋果提供macOS除蟲獎勵

KeySteal零日漏洞曝光 研究者希望蘋果提供macOS除蟲獎勵

作者:編輯 ? 時間:2019-02-07 ? 瀏覽:人次

本周,德國安全研究人員 Linus Henze 發(fā)現(xiàn)了蘋果 macOS 中一個被稱作“KeySteal”的零日漏洞,并在 YouTube 上公布了一段視頻演示。對于別有用心的攻擊者來說,可借助惡意手段從 Mac 上的 Keychain 應(yīng)用程序來收集全部的敏感信息,而無需管理員訪問權(quán)限(或管理員密碼)。

Keychain 會暴露密碼和其它信息,以及其它 macOS 用戶的密碼詳情。

鑒于蘋果沒有針對 macOS 的漏洞賞金計劃,Henze 尚未選擇向蘋果分享漏洞詳情,但表示不會輕易將細(xì)節(jié)公布。其在視頻描述中寫到 ——“全都怪蘋果!”(So blame them.)

他在接受《福布斯》采訪時稱,查找漏洞費心費力,向研究者支付酬勞是天經(jīng)地義的,因為我們在幫助蘋果公司的產(chǎn)品變得更加安全。

據(jù)悉,蘋果有一個針對 iOS 移動平臺的獎勵計劃,為發(fā)現(xiàn) bug 的人們提供賞金。遺憾的是,對于桌面平臺的 macOS 系統(tǒng),蘋果并沒有類似的除蟲獎勵。

德國網(wǎng)站 Heise Online 稱,該漏洞允許訪問 Mac 上 Keychain 的內(nèi)容,但不能訪問存儲在 iCloud 中的信息。

Keychain 也需要被解鎖,當(dāng)用戶在 Mac 上登錄他們的帳戶時,即會在默認(rèn)情況下會發(fā)生。如需為 Keychain 應(yīng)用加鎖,可以通過管理員密碼來打開該 App,然后執(zhí)行相關(guān)操作。

ZDNet 指出,蘋果安全團(tuán)隊已經(jīng)同 Henze 取得了聯(lián)系,但后者拒絕提供更多細(xì)節(jié),除非蘋果為 macOS 平臺提供類似 iOS 的除蟲獎勵。

KeySteal - Stealing your keychain passwords on macOS Mojave(via)

Henze 辯解道:“我這么做并不是掉進(jìn)了錢眼里,這點動機(jī)并不足以促使我這么做。我是希望蘋果創(chuàng)建一個 macOS 賞金計劃,這對該公司和研究人員來說都是一件好事”。

其實,這不是 macOS 中發(fā)現(xiàn)的首個與 Keychain 相關(guān)的漏洞。此前,安全研究員 Patrick Wardle 也在 2017 年演示了一個類似的漏洞(已被修復(fù))。

[編譯自:MacRumors]

轉(zhuǎn)載請保留原文鏈接:http://eatcooks.com/a/keji/2019/0207/27107.html上一篇:上一篇:新技術(shù)指出僅有的始祖鳥原始羽毛標(biāo)本或不屬于始祖鳥
下一篇:下一篇:沒有了