据外媒 9 月 26日报道,安全研究人员 Patrick Wardle 近期发现 macOS High Sierra 10.13 操作系统可能存在一处高危漏洞,允许黑客窃取存储在 Keychain 中的账户名与密码。事实证明,macOS High Sierra(可能还有早期版本的 macOS)的未签名应用可以访问 Keychain 信息,并在没有用户主密码的情况下显示明文的用户名和密码。
在 High Sierra(未签名)应用程序中,可以通过编程转储用户密码
研究人员表示,要想让这种漏洞发挥作用,即用户需要从一个未知来源下载恶意第三方代码。目前,苹果对应用程序在 Mac App Store 之外或不受信任的开发者处下载予以了强烈的反对警告。事实上,苹果甚至不允许非信任的开发者的应用在没有明确覆盖安全设置的情况下被下载。
知情人士透露,Wardle 创建了一个概念验证的应用程序,叫做 “ keychainStealer ”,能够访问 Twitter、Facebook 和美国银行的钥匙链中存储的纯文本密码。此外,Wardle 在福布斯杂志上谈到了这一漏洞时表示,即使在苹果的保护措施下,黑客在 Mac 上运行恶意代码也并不困难。他们甚至并不需要 root 用户特权,如果用户登录了,黑客就可以转储并过滤掉密钥链,包括明文密码。另外,大多数攻击都涉及到社交账户管理,而且似乎成功地针对 Mac 用户且成功率达到 100%。
目前,Wardle 还没有为恶意实体提供完整的漏洞概念验证,不过他相信苹果会在未来的更新中修复这一问题。另外,由于 Wardle 没有公布完整的漏洞代码,外界无法对此进行验证,也没有别的相似消息来源进行比对,所以关于这个漏洞的完整细节还不为人所知。据悉,苹果尚未回应就其系统存有潜在危险发表评论。
稿源:cnBeta、威锋网,封面源自网络;
请登录后发表评论
注册