KeySteal零日漏洞曝光 研究者希望苹果提供macOS除虫奖励
本周,德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的零日漏洞,并在 YouTube 上公布了一段视频演示。对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 Keychain 应用程序来收集全部的敏感信息,而无需管理员访问权限(或管理员密码)。
Keychain 会暴露密码和其它信息,以及其它 macOS 用户的密码详情。
鉴于苹果没有针对 macOS 的漏洞赏金计划,Henze 尚未选择向苹果分享漏洞详情,但表示不会轻易将细节公布。其在视频描述中写到 ——“全都怪苹果!”(So blame them.)
他在接受《福布斯》采访时称,查找漏洞费心费力,向研究者支付酬劳是天经地义的,因为我们在帮助苹果公司的产品变得更加安全。
据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。
德国网站 Heise Online 称,该漏洞允许访问 Mac 上 Keychain 的内容,但不能访问存储在 iCloud 中的信息。
Keychain 也需要被解锁,当用户在 Mac 上登录他们的帐户时,即会在默认情况下会发生。如需为 Keychain 应用加锁,可以通过管理员密码来打开该 App,然后执行相关操作。
ZDNet 指出,苹果安全团队已经同 Henze 取得了联系,但后者拒绝提供更多细节,除非苹果为 macOS 平台提供类似 iOS 的除虫奖励。
KeySteal - Stealing your keychain passwords on macOS Mojave(via)
Henze 辩解道:“我这么做并不是掉进了钱眼里,这点动机并不足以促使我这么做。我是希望苹果创建一个 macOS 赏金计划,这对该公司和研究人员来说都是一件好事”。
其实,这不是 macOS 中发现的首个与 Keychain 相关的漏洞。此前,安全研究员 Patrick Wardle 也在 2017 年演示了一个类似的漏洞(已被修复)。
[编译自:MacRumors]
相关阅读
最新文章
随机推荐
- 花了上万买的苹果手机是翻新机怎么办?大神简单教你一识别方法!
- 娱乐圈半壁江山尖叫尝鲜 美的微晶冰箱打造万人V菁荟盛典
- 小米有品上架JUNLIN数字麦克风:随时随地演唱会级体验
- 大数据时代,云端爬虫采集系统辅助网站实现内容自动化!
- 深圳电通互联科技有限公司
- 罗永浩:如期发过工资,感谢媒体造谣传谣
- 余承东8点04分突然发文:真诚的批评,是真心爱我们!
- 「博拉网络」领跑互联网服务商帮助企业全面升级
- 继小米8青春版后,联想点名嘲笑小米8
- 富士康计划明年削减200亿元成本 iPhone组装业务占到1/3
- 谷歌为使用皮肤作为触摸板的智能手表申请专利
- 团聚力,一场有关微信小程序的用户体验讨论
- 西电耐斯智能新风亮相首届西安丝路教育装备发展高峰论坛
- 云盒开放服务平台发布会:VNT Chain携手云象建设产业生态合作共赢
- 美一男子不顾劝阻登陆印度原始岛屿:被土著击杀
- 明基EW3270U评测 32寸4K+HDR10+影院级色彩标准+莱茵护眼
- 打造氚云PaaS智慧服务 社区 智能客服同步上线
- 实测!OPPO R17支持360度无死角屏幕指纹瞬间解锁,快准稳
- 马丁发文悼念斯坦·李:“他算是我的第一个出版商”
- 专为电竞游戏而生 黑鲨新品外设上手评测
最新评论
更多评论