शोधकर्ता ऐप्पल को कीचेन दोष के लिए विवरण (और फिक्स) प्रदान करता है
फोटो: किलियन बेल / कल्ट ऑफ मैक
एक सुरक्षा शोधकर्ता ने ऐप्पल को विवरण - और एक पैच - के साथ प्रदान करने का निर्णय लिया है macOS Mojave में गंभीर चाबी का गुच्छा दोष जो किसी को भी आपके सहेजे गए उपयोगकर्ता नाम और पासवर्ड तक पहुंचने की अनुमति देता है।
लिनुस हेन्ज़ ने पहले मैकओएस बग बाउंटी प्रोग्राम की पेशकश नहीं करने के ऐप्पल के फैसले के विरोध में जानकारी को रोक दिया था। अब उनका मानना है कि कंपनी की अनदेखी के लिए समस्या बहुत गंभीर है।
हेन्ज़ ने पिछले महीने भेद्यता और इसका फायदा उठाने के लिए बनाए गए एक कार्यक्रम का विवरण दिया। उनके कीस्टील टूल ने मैकोज़ के नवीनतम संस्करण के तहत बिना व्यवस्थापक पहुंच के किचेन उपयोगकर्ता नाम और पासवर्ड प्राप्त करने की अनुमति दी।
हेन्ज़ ने उस समय ऐप्पल के साथ विवरण साझा नहीं करने का फैसला किया, लेकिन तब से उनका हृदय परिवर्तन हो गया है।
Apple ने चाबी का गुच्छा दोष का विवरण सीखा
"मैंने ऐप्पल को अपना किचेन शोषण जमा करने का फैसला किया है, भले ही उन्होंने प्रतिक्रिया नहीं दी, क्योंकि यह बहुत महत्वपूर्ण है और क्योंकि मैकोज़ उपयोगकर्ताओं की सुरक्षा मेरे लिए महत्वपूर्ण है,"
हेन्ज़ ने ट्वीट किया. "मैंने उन्हें पूरी जानकारी भेज दी है।"आश्चर्यजनक रूप से, हेन्ज़ ने ऐप्पल को समस्या के लिए एक फिक्स भी भेजा, "बिल्कुल मुफ्त।"
Apple macOS बग्स के लिए तैयार नहीं है
यदि यह आईओएस में एक दोष था, तो हेन्ज़ को ऐप्पल के बग बाउंटी प्रोग्राम के हिस्से के रूप में अपनी खोज के लिए एक इनाम मिला होगा। लेकिन क्योंकि समस्या macOS में है, जिसके लिए कोई बाउंटी प्रोग्राम नहीं है, हेन्ज़ को कुछ नहीं मिलेगा।
हेन्ज़ अन्य शोधकर्ताओं को macOS में खोजी गई समस्याओं का सार्वजनिक रूप से खुलासा करने के लिए प्रोत्साहित कर रहा था, और मैकोज़ बग की पेशकश करने के लिए कंपनी पर दबाव डालने के प्रयास में, ऐप्पल से विवरण वापस लेने के लिए इनाम लेकिन योजना ने भुगतान नहीं किया।
ऐप्पल ने हेन्ज़ से उसकी खोज के बारे में पूछने के लिए संपर्क किया, लेकिन एक इनाम कार्यक्रम के लिए उसकी मांगों का जवाब नहीं दिया। हेन्ज़ ने अब यह सुनिश्चित करने के लिए दिया है कि समस्या ठीक हो गई है और यह कि macOS उपयोगकर्ता सुरक्षित हैं।
KeySteal शोषण को कैसे रोकें
यह अभी तक स्पष्ट नहीं है कि क्या Apple हेन्ज़ के फिक्स का उपयोग करेगा, या जब Mojave में समस्या को ठीक किया जाएगा। जंगली में इसी तरह के कारनामों का उपयोग करने वाले बुरे अभिनेताओं की कोई रिपोर्ट नहीं मिली है, लेकिन उपयोगकर्ता किचेन को एक अतिरिक्त पासवर्ड के साथ लॉक करके यह सुनिश्चित कर सकते हैं कि वे सुरक्षित हैं।
