macOS Mojave ხარვეზი თქვენს Keychain პაროლებს რისკის ქვეშ აყენებს
ფოტო: კილიან ბელი/Cult of Mac
MacOS Mojave– ში აღმოჩენილი ახალი ნაკლი თქვენს მგრძნობიარე Keychain მონაცემებს რისკის ქვეშ აყენებს.
უსაფრთხოების ერთ -ერთმა მკვლევარმა აჩვენა ექსპლუატაცია, რომლის საშუალებითაც ნებისმიერს შეეძლება შენახულ მომხმარებლის სახელებსა და პაროლებზე წვდომა ადმინისტრატორის წვდომის გარეშე. ის არ გაზიარებს დეტალებს Apple– თან, რადგან შეთავაზებაში არ არის ჯილდო.
მისი მეშვეობით bug bounty პროგრამა, Apple ხველებს ჯილდოს, როდესაც ადამიანები აღმოაჩენენ iOS– ის სერიოზულ დაუცველობას. მაგრამ იგივე მექანიზმი არ ვრცელდება macOS– ზე. ამიტომაც მკვლევარი ლინუზ ჰენზე არ გამოავლენს მოჰავეში ახლად აღმოჩენილი ხარვეზის დეტალებს.
თუმცა, ჰენზე - რომელმაც კარგი გამოცდილება მოიპოვა iOS– ის პრობლემების იდენტიფიცირებით - როგორც ჩანს, სიამოვნებით უჩვენებს მსოფლიოს ზუსტად იმას, რასაც დაუცველობა იძლევა. და ეს არ არის კარგი.
KeySteal ექსპლოიტი იპარავს Mac Keychain პაროლებს
პროგრამის გამოყენებით, რომელიც ჰენზე მოუწოდებს KeySteal- ს, მან წარმატებით აიღო მომხმარებლის სახელები და პაროლები, რომლებიც შენახულია macOS Keychain– ში ადმინისტრატორის წვდომის გარეშე.
არ აქვს მნიშვნელობა თუ წვდომის კონტროლის სიები ადგილზეა მანქანაზე. Mac– ის სისტემის მთლიანობის დაცვა მასაც არ შეუძლია ხელი შეუშალოს
აქ მოცემულია KeySteal– ის მოკლე ვიდეო მოქმედებაში:
ჰენზე ამბობს, რომ ექსპლუატი შეიძლება გამოყენებულ იქნას "შესვლის" და "სისტემის" კლავიშების ყველა ელემენტზე წვდომისათვის. თუმცა, მას არ შეუძლია მონაცემების წვდომა iCloud Keychain– ში, რომელიც ინფორმაციას სხვანაირად ინახავს.
უსაფრთხოების მკვლევარს სურს ზეწოლა მოახდინოს Apple– ზე
ჰენზე არ გაამჟღავნებს თავის დასკვნებს Apple– ს იმის გამო, რომ ის იმედგაცრუებულია macOS– ის bug bounty პროგრამის არარსებობით. ის მოუწოდებს სხვა მკვლევარებს, საჯაროდ გამოაქვეყნონ უსაფრთხოების საკითხებიც, რათა მათ მოახდინონ ზეწოლა Apple- ზე, რომ შეიტანოს ცვლილებები.
გაურკვეველია იცის თუ არა Apple– მა ამ კონკრეტული საკითხის შესახებ Mojave– ში - მაგრამ არის ის, რისი გაკეთებაც მომხმარებლებს შეუძლიათ საკუთარი თავის დასაცავად.
როგორ ავიცილოთ თავიდან KeySteal ექსპლუატაცია
თქვენ შეგიძლიათ დაბლოკოთ ექსპლოიტები, როგორიცაა KeySteal, ბლოკირებით შესასვლელი საკვანძო ჯაჭვი დამატებითი პაროლით. თქვენ უნდა გააკეთოთ ეს ხელით, რადგან ის არ არის დაცული ნაგულისხმევად macOS– ში. გამოსწორება არ არის იდეალური, რადგან ეს ნიშნავს უსასრულო პაროლის მოთხოვნებს თქვენი Mac– ის გამოყენებისას.
ეს არის ამ macOS დაუცველობის ერთადერთი გამოსავალი ამჟამად. ასე რომ, თუ თქვენ გაწუხებთ პრობლემა, ეს თქვენი ერთადერთი არჩევანია.
ვია: ჰეისე