Alman güvenlik araştırmacısı Linus Henze bu hafta, aşağıdaki videoda gösterildiği gibi, Anahtar Zinciri uygulamasında depolanan tüm hassas verilere ulaşmak için kullanılabilen 'KeySteal' adlı yeni bir sıfır gün macOS güvenlik açığı keşfetti.
Henze, yönetici erişimi veya yönetici parolası olmadan Mac'in Anahtarlık uygulamasından veri çıkarmak için kötü amaçlı bir uygulama kullanıyor gibi görünüyor. Anahtar Zincirinden parolaları ve diğer bilgileri alabilir, ayrıca diğer macOS kullanıcıları için parolalar ve ayrıntılar alabilir.
iphone'da selfie kamerası nasıl çevrilir
Henze, bu istismarın ayrıntılarını Apple ile paylaşmadı ve Apple'ın macOS için herhangi bir bug bounty programı bulunmadığından bunu yayınlamayacağını söylüyor. Henze videonun açıklamasına 'Öyleyse onları suçlayın' diye yazıyor. bir açıklamada Forbes , Henze pozisyonunu netleştirdi ve güvenlik açıklarını keşfetmenin zaman aldığını söyledi.
'Bunun gibi güvenlik açıklarını bulmak zaman alıyor ve bence araştırmacılara ödeme yapmak yapılacak doğru şey çünkü Apple'ın ürünlerini daha güvenli hale getirmesine yardımcı oluyoruz.'
Apple'ın iOS için hataları keşfedene para sağlayan bir ödül programı var ancak macOS hataları için benzer bir ödeme sistemi yok.
Alman sitesine göre Çevrimiçi Henze ile konuşan bu istismar, iCloud'da depolanan bilgilere değil, Mac Anahtarlık öğelerine erişime izin veriyor. Anahtar zincirinin de kilidinin açılması gerekir; bu, bir kullanıcı bir Mac'te hesabında oturum açtığında varsayılan olarak gerçekleşen bir şeydir.
Anahtarlık, Anahtarlık uygulaması açılarak kilitlenebilir, ancak daha sonra bir uygulamanın Anahtarlık'a erişmesi gerektiğinde bir yönetici parolasının girilmesi gerekir, bu da uygunsuz olabilir.
Apple'ın güvenlik ekibi, Henze'ye ulaştı ZDNet , ancak macOS için bir hata ödül programı sağlamadıkları sürece ek ayrıntı sağlamayı reddetmeye devam etti. Henze, 'Bunu sadece para için yapıyor gibi görünsem de, bu durumda benim motivasyonum bu değil' dedi. Motivasyonum, Apple'ın bir hata ödül programı oluşturmasını sağlamak. Bunun hem Apple hem de Araştırmacılar için en iyisi olduğunu düşünüyorum.'
Bu, macOS'ta keşfedilen ilk Anahtar Zinciri ile ilgili güvenlik açığı değil. Güvenlik araştırmacısı Patrick Wardle, 2017'de yamalanmış benzer bir güvenlik açığının tanıtımını yaptı.
Popüler Mesajlar