A kutató részletekkel (és javításokkal) látja el az Apple -t a kulcstartó hibájával kapcsolatban
Fotó: Killian Bell/Cult of Mac
Egy biztonsági kutató úgy döntött, hogy részleteket - és javítást - bocsát az Apple rendelkezésére a súlyos kulcstartó hiba a macOS Mojave -ban lehetővé teszi bárki számára, hogy hozzáférjen a mentett felhasználónevekhez és jelszavakhoz.
Linus Henze korábban visszatartotta az információkat, tiltakozva az Apple azon döntése ellen, hogy nem kínál macOS hibajavító programot. Most úgy véli, hogy a probléma túl komoly ahhoz, hogy a vállalat figyelmen kívül hagyja.
Henze a múlt hónapban részletezte a biztonsági rést, és egy programot, amelyet ennek kiépítésére készített. A KeySteal eszköze lehetővé tette a Kulcstartó felhasználónevek és jelszavak rendszergazdai hozzáférés nélkül történő beszerzését a macOS legújabb verziójában.
Henze úgy döntött, hogy akkor nem osztja meg a részleteket az Apple -lel, de azóta megváltozott a szíve.
Az Apple megtudja a kulcstartó hibájának részleteit
„Elhatároztam, hogy benyújtom a Kulcstartó kihasználást az Apple -nek, bár nem reagáltak, mivel ez nagyon kritikus, és mivel a macOS -felhasználók biztonsága fontos számomra.” Henze tweetelt. - Elküldtem nekik a részleteket.
Elképesztő módon Henze az Apple -nek is kijavította a problémát, természetesen ingyen.
Az Apple nem köhög a macOS hibák miatt
Ha ez az iOS hibája lenne, Henze jutalmat kapott volna az Apple bug bounty programja keretében végzett felfedezéséért. De mivel a probléma a macOS -ban van, amelyhez nincs bounty program, Henze nem kap semmit.
Henze arra bátorított más kutatókat, hogy nyilvánosan hozzák nyilvánosságra a macOS -ban felfedezett problémákat, és hogy visszatartsa a részleteket az Apple -től, hogy nyomást gyakoroljon a vállalatra a macOS hibák felajánlására jutalmak. De a terv nem hozott eredményt.
Az Apple felvette a kapcsolatot a Henzével, hogy megkérdezze a felfedezését, de nem válaszolt a jótékonysági program iránti igényeire. Henze most megadta magát annak biztosítása érdekében, hogy a probléma kijavításra kerüljön, és a macOS -felhasználók biztonságban legyenek.
Hogyan lehet megakadályozni a KeySteal kihasználását
Egyelőre nem világos, hogy az Apple használni fogja -e a Henze javítását, vagy mikor orvosolják a problémát a Mojave -ban. Nem érkeztek jelentések arról, hogy rossz szereplők használnának hasonló kihasználásokat a vadonban, de a felhasználók biztosítani tudják biztonságukat a kulcstartó további jelszóval történő zárolásával.