本周,德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的零日漏洞,并在 YouTube 上公布了一段视频演示。对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 KeychAIn 应用程序来收集全部的敏感信息,而无需管理员访问权限(或管理员密码)。
Keychain 会暴露密码和其它信息,以及其它 macOS 用户的密码详情。
鉴于苹果没有针对 macOS 的漏洞赏金计划,Henze 尚未选择向苹果分享漏洞详情,但表示不会轻易将细节公布。其在视频描述中写到 ——“全都怪苹果!”(So blame them.)
他在接受《福布斯》采访时称,查找漏洞费心费力,向研究者支付酬劳是天经地义的,因为我们在帮助苹果公司的产品变得更加安全。
据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。
德国网站 Heise Online 称,该漏洞允许访问 Mac 上 Keychain 的内容,但不能访问存储在 iCloud 中的信息。
Keychain 也需要被解锁,当用户在 Mac 上登录他们的帐户时,即会在默认情况下会发生。如需为 Keychain 应用加锁,可以通过管理员密码来打开该 App,然后执行相关操作。
ZDNet 指出,苹果安全团队已经同 Henze 取得了联系,但后者拒绝提供更多细节,除非苹果为 macOS 平台提供类似 iOS 的除虫奖励。
KeySteal - Stealing your keychain passwords on macOS Mojave(via)
Henze 辩解道:“我这么做并不是掉进了钱眼里,这点动机并不足以促使我这么做。我是希望苹果创建一个 macOS 赏金计划,这对该公司和研究人员来说都是一件好事”。
其实,这不是 macOS 中发现的首个与 Keychain 相关的漏洞。此前,安全研究员 Patrick Wardle 也在 2017 年演示了一个类似的漏洞(已被修复)。
[编译自:MacRumors]
