Немецкий специалист по информационной безопасности Линус Хенце (Linus Henze) установил, что уязвимость так называемого нулевого дня в macOS позволяет похитить все пароли пользователя.
Об этом сообщает Heise Medien.
По этому поводу он записал специальное видео YouTube proof-of-concept. Длительность процесса занимает около минуты. Проблему Хенце назвал KeySteal, поскольку она “вытягивает” все пароли из Keychain.
Специалист не показал технические детали действия или как его можно реализовать, но лишь суть самой проблемы.
Также, он отметил, что извлечь локальные пароли из Keychain или перезаписать их содержимое можно с помощью любого приложения для macOS.
Такая уязвимость распространена у OS Mojave и более старых версий операционной системы.
Хенце о проблеме не сообщил разработчику ОС, компании Apple. Но те отреагировали на его заявление уже после публикации видео в Сети, отметив, что да, уязвимость действительно существует.
По версии издания Heise Medien, ИБ-специалист не стал делиться о проблеме с разработчиком, поскольку вознаграждение за обнаружение какой-лио проблемы может получить только представитель компании.
Но Хенце отметил, что в этой ситуации его мотивация не деньги, а желание “сподвигнуть Apple к созданию программы bug bounty”.
“Думаю, что так будет лучше для всех, и для Apple, и для исследователей. Я очень люблю продукты Apple и хочу, чтобы они стали безопаснее”, – отметил он.
Ранее компания Apple выпустила обновление для операционной системы iOS 12.1.4, которое устранило ошибку при использовании сервиса аудио- и видеозвонков FaceTime.
До этого в США на корпорацию Apple подали в суд из-за уязвимости в приложении FaceTime, которая позволяет во время звонка сразу же услышать звук, поступающий с телефона абонента, до того, как он примет или отклонит входящий вызов.
