Cercetătorul oferă Apple detalii (și soluții) pentru defectul Keychain
Un cercetător în domeniul securității a decis să ofere Apple detalii - și un patch - pentru un defect serios la Keychain în MacOS Mojave care permite oricui să vă acceseze numele de utilizator și parolele salvate.
Linus Henze a reținut anterior informațiile în semn de protest împotriva deciziei Apple de a nu oferi un program de recompensă pentru erori macOS. Acum crede că problema este prea gravă pentru ca compania să o ignore.
Henze a detaliat vulnerabilitatea și un program pe care l-a construit pentru a o exploata, luna trecută. Instrumentul său KeySteal a permis ca numele de utilizator și parolele Keychain să fie obținute fără acces de administrator în ultima versiune de macOS.
Henze a decis să nu împărtășească detaliile cu Apple la momentul respectiv, dar de atunci a avut o schimbare de inimă.
Apple află detalii despre defectul Keychain
„Am decis să trimit exploatarea mea Keychain către Apple, chiar dacă nu au reacționat, deoarece este foarte critic și pentru că securitatea utilizatorilor macOS este importantă pentru mine”
Henze a scris pe Twitter. „Le-am trimis detaliile complete”.În mod uimitor, Henze i-a trimis companiei Apple o soluție pentru această problemă, „gratuit, desigur”.
Apple nu va tuse după erorile macOS
Dacă acest lucru ar fi fost un defect în iOS, Henze ar fi primit o recompensă pentru descoperirea sa ca parte a programului de recompensare a bug-urilor de la Apple. Dar, deoarece problema este în macOS, pentru care nu există un program de recompense, Henze nu va obține nimic.
Henze încurajase alți cercetători să dezvăluie public problemele pe care le-au descoperit în macOS și pentru a reține detaliile de la Apple, într-un efort de a presiona compania să ofere bug macOS recompense. Dar planul nu a dat roade.
Apple l-a contactat pe Henze pentru a întreba despre descoperirea sa, dar nu a răspuns la solicitările sale pentru un program de recompense. Henze a cedat acum pentru a se asigura că problema este rezolvată și că utilizatorii de macOS sunt în siguranță.
Cum să preveniți exploatarea KeySteal
Nu este încă clar dacă Apple va folosi remedierea Henze sau când problema va fi remediată în Mojave. Nu au existat rapoarte despre actori răi care folosesc exploatări similare în natură, dar utilizatorii se pot asigura că sunt în siguranță prin blocarea brelocului cu o parolă suplimentară.