Немец обнаружил уязвимость в macOS, которая позволяет воровать пароли. Но отказался бесплатно сотрудничать с Apple

3 февраля 18-летний исследователь безопасности Лайнус Хенце (Linus Henze) из Германии нашел уязвимость, которая позволяет получить доступ ко всем паролям, сохраненным в «Cвязке ключей» в macOS. С помощью собственной программы KeySteal в ролике он демонстрирует, как без прав администратора можно украсть конфиденциальную информацию.

Несмотря на то, что баг работает только на компьютерах Mac, пароли, синхронизируемые с iPhone и другими устройствами Apple, также могут оказаться под угрозой при использовании iCloud.

В интервью с Forbes исследователь предположил, что подобная программа может попасть в macOS через обычное приложение или веб-страницу с вредоносным кодом. А поскольку хакер может получить доступ к iCloud, то Apple ID тоже окажется в опасности, считает Хенце.

Тем не менее он отказался помогать Apple, потому что компания платит вознаграждения только тем исследователям, которые находят ошибки в iOS, но не в macOS.

На момент публикации Apple не дала комментариев.

Кажется, что им плевать на macOS. На поиск уязвимостей уходит много времени. Думаю, что исследователям стоит платить, поскольку мы помогаем Apple делать их продукты более безопасными.

Лайнус Хенце

исследователь безопасности

Специально для Forbes баг протестировал Патрик Уордл (Patrick Wardle), который в 2017 году обнаружил похожий баг. Бывший аналитик Агентства национальной безопасности США был поражен находкой молодого Хенце.

Немного обескураживает, что Apple не может понять, как обеспечить безопасность «Связки ключей». Какой смысл создавать приложение для хранения самой конфиденциальной информации в системе, если этот механизм уязвим?

Патрик Уордл

специалист безопасности, основатель Digita Security

Источник:
0