Амайя Томан Лінуз Хенце, дослідник безпеки, поділився своїм Twitter відео, яке демонструє недолік безпеки в операційній системі macOS. Зазначена помилка дозволяє отримати доступ до паролів, що зберігаються у Keychain, зокрема до елементів у категоріях Логін і система.
Хенце також прокоментував програму винагород за помилки, яку проводить Apple. За його власними словами, він розчарований тим, що програма спеціалізується виключно на операційній системі iOS і не фокусується на macOS. На знак протесту проти того, як Apple розглядає помилки в своїх системах і повідомляє про них, Хенце вирішив офіційно не інформувати компанію про свої висновки.
Раніше Хенце вже вдалося виявити не один баг в операційній системі iOS, тому його слова можна вважати правдивими і заслуговують довіри. Для здійснення атаки не потрібно отримувати права адміністратора, а доступ до паролів у Keychain на Mac можна отримати навіть на комп’ютерах із активованим захистом цілісності системи. Однак на брелок iCloud ця помилка не впливає, оскільки він зберігає паролі іншим способом. Теоретично можна захиститися від помилки, захистивши саму в’язку ключів ще одним паролем, але це не той варіант, який буде доступний за замовчуванням, весь процес досить складний і, як наслідок, призводить до численних діалогових вікон перевірки під час роботи над Mac.
Джерело: 9to5Mac
Яблуко в дупі. Хай живуть нові емодзі. Одного разу 14-річний хлопець виявляє жахливу помилку в FaceTime. Тепер безпосередньо до Keychain. Це виглядає майже так, ніби він генерує паролі, спостерігає за кодуванням хеш-програми, хешує його та отримує результат.
Що з безпекою, тим більше, що у нас є політично коректні емодзі та надрукований райдужний прапор на веб-сайті Apple у потрібний день. Це зараз пріоритет!