Эксперт по кибербезопасности решил бороться с жадностью Apple (видео)
Специалист в области безопасности Линус Хенце публично демонстрировал, что в MacOS Mojave есть уязвимость, которая позволяет, не имея прав администратора ли суперпользователя, получить доступ ко всем логинам и паролям, находящимся в фирменном приложении Apple для хранения этой конфиденциальной информации — Keychain.
Через KeySteal, приложение, созданное для использования этой уязвимости, Линус смог получить доступ к паролям Keychain в macOS Mojave 10.14.3. Сбой влияет только в локальном режиме, а не на информацию, хранящуюся в iCloud. Единственный способ защитить себя - включить пароль в Keychain или выйти из системы после определенного времени бездействия. Хенце не рекомендует использовать эти параметры, поскольку пользователю придётся иметь дело с всплывающими экранами, которые будут появляться при каждом запуске приложения.
Реальное решение для Apple — выпустить обновление системы, однако для начала специалистам компании потребуется найти "дыру". Аналитик при этом подчеркнул, что он не намерен делиться информацией о баге с компанией, поскольку не существует программы вознаграждений за поиск уязвимостей в macOS. К таким же действиям Хенце призывает своих коллег. На данный момент Apple предлагает только сумму до 200 000 долларов для тех, кто обнаружит ошибки безопасности в мобильной iOS.
Источник: 9to5mac.com