мана мацОС Мојаве доводи ваше лозинке привеска у опасност
![Мана МацОС Мојаве доводи ваше лозинке привеска у опасност мацОС привезак за кључеве](/f/4885af82bf6aefa9a29035e639c32707.jpeg)
Фотографија: Киллиан Белл/Цулт оф Мац
Нова грешка откривена у мацОС Мојаве доводи ваше осетљиве податке о привезу кључева у опасност.
Један истраживач безбедности демонстрирао је експлоатацију која би свакоме могла омогућити приступ сачуваним корисничким именима и лозинкама без администраторског приступа. Међутим, неће делити детаље са Апплеом јер у понуди нема награде.
Кроз свој буг боунти програм, Аппле искашљава награде када људи открију озбиљне рањивости иОС -а. Али исти механизам се не односи на мацОС. Зато истраживач Линуз Хензе неће открити детаље новооткривене грешке у Мојавеу.
Међутим, чини се да је Хензе - који је зарадио добре резултате идентификујући проблеме са иОС -ом - срећан што ће свету показати шта рањивост дозвољава. И није добро.
КеиСтеал екплоит краде Мац Кеицхаин лозинке
Користећи програм који Хензе позива КеиСтеал, успешно је ухватио корисничка имена и лозинке сачуване у мацОС привеску за кључеве без администраторског приступа.
Нема разлике ако листе за контролу приступа су на машини. Мац -ови Заштита интегритета система ни то не може спречити.
Ево кратког видео записа КеиСтеал -а на делу:
Хензе каже да се експлоат може користити за приступ свим ставкама у привесцима за пријављивање и системским кључевима. Међутим, не може приступити подацима у иЦлоуд привеску за кључеве, који другачије складишти информације.
Истраживач безбедности жели да изврши притисак на Аппле
Хензе неће открити своје налазе Апплеу због фрустрације због недостатка програма за умањење грешака за мацОС. Он охрабрује и друге истраживаче да јавно објаве безбедносна питања, како би могли да изврше притисак на Аппле да направи промену.
Није јасно да ли је Аппле свестан овог проблема у Мојавеу - али постоји нешто што корисници могу учинити да се заштите.
Како спречити КеиСтеал екплоит
Експлоатације попут КеиСтеал -а можете блокирати закључавањем привеска за кључеве помоћу додатне лозинке. Морате то учинити ручно јер није подразумевано заштићено у мацОС -у. Поправка није идеална јер значи бесконачне упите лозинке када користите Мац.
То је засад једино решење за ову рањивост на мацОС -у. Дакле, ако сте забринути због проблема, то је ваш једини избор.
Преко: Хеисе