macOS Mojave 결함은 키체인 암호를 위험에 빠뜨립니다.
사진: 킬리언 벨/컬트 오브 맥
macOS Mojave에서 발견된 새로운 결함은 민감한 키체인 데이터를 위험에 빠뜨립니다.
한 보안 연구원은 관리자 액세스 없이 누구나 저장된 사용자 이름과 비밀번호에 액세스할 수 있는 익스플로잇을 시연했습니다. 그러나 제공되는 보상이 없기 때문에 그는 Apple과 세부 사항을 공유하지 않을 것입니다.
통해 버그 현상금 프로그램, Apple은 사람들이 심각한 iOS 취약점을 발견하면 보상을 제공합니다. 그러나 동일한 메커니즘이 macOS로 확장되지 않습니다. 그렇기 때문에 연구원 Linuz Henze는 Mojave에서 새로 발견된 결함에 대한 세부 정보를 공개하지 않습니다.
그러나 iOS 문제를 식별하여 좋은 실적을 올린 Henze는 취약점이 허용하는 바를 정확히 세상에 보여주고 싶어하는 것 같습니다. 그리고 좋지 않습니다.
KeySteal 익스플로잇은 Mac 키체인 암호를 훔칩니다.
Henze는 KeySteal이라고 부르는 프로그램을 사용하여 관리자 액세스 없이 macOS 키체인에 저장된 사용자 이름과 암호를 성공적으로 캡처했습니다.
하면 차이가 없습니다. 액세스 제어 목록 기계에 있습니다. 맥의 시스템 무결성 보호 막을 수도 없습니다.
다음은 KeySteal의 작동에 대한 짧은 비디오입니다.
Henze는 익스플로잇이 "로그인" 및 "시스템" 키체인의 모든 항목에 액세스하는 데 사용될 수 있다고 말합니다. 그러나 정보를 다르게 저장하는 iCloud 키체인의 데이터에는 접근할 수 없습니다.
보안 연구원은 Apple에 압력을 가하려고 합니다.
Henze는 macOS용 버그 바운티 프로그램의 부족으로 인해 자신의 발견을 Apple에 공개하지 않을 것입니다. 그는 다른 연구원들이 보안 문제를 공개적으로 공개하여 Apple이 변경하도록 압력을 가할 수 있도록 장려하고 있습니다.
Apple이 Mojave의 이 특정 문제를 인지하고 있는지는 확실하지 않지만 사용자가 스스로를 보호하기 위해 할 수 있는 일이 있습니다.
KeySteal 악용을 방지하는 방법
추가 암호로 로그인 키체인을 잠그면 KeySteal과 같은 악용을 차단할 수 있습니다. macOS에서는 기본적으로 보호되지 않으므로 수동으로 수행해야 합니다. Mac을 사용할 때 끝없는 암호 프롬프트를 의미하기 때문에 수정 사항은 이상적이지 않습니다.
그러나 현재로서는 이 macOS 취약점에 대한 유일한 수정 사항입니다. 따라서 문제가 걱정된다면 유일한 선택입니다.
을 통해: 헤이세
