Linus Henze นักวิจัยด้านความปลอดภัยของเยอรมันในสัปดาห์นี้ ค้นพบช่องโหว่ของ macOS Zero-day ใหม่ที่เรียกว่า 'KeySteal' ซึ่งดังตัวอย่างในวิดีโอด้านล่าง สามารถใช้เพื่อเข้าถึงข้อมูลสำคัญทั้งหมดที่จัดเก็บไว้ในแอพ Keychain
ดูเหมือนว่า Henze จะใช้แอปที่เป็นอันตรายเพื่อดึงข้อมูลจากแอป Keychain ของ Mac โดยไม่จำเป็นต้องเข้าถึงผู้ดูแลระบบหรือรหัสผ่านของผู้ดูแลระบบ สามารถรับรหัสผ่านและข้อมูลอื่นๆ จาก Keychain รวมถึงรหัสผ่านและรายละเอียดสำหรับผู้ใช้ macOS คนอื่นๆ
วิธีเชื่อมโยงข้อความ iphone กับ mac
Henze ไม่ได้เปิดเผยรายละเอียดของการหาช่องโหว่นี้กับ Apple และบอกว่าเขาจะไม่ปล่อยมันเพราะ Apple ไม่มีโปรแกรมให้ค่าหัวบั๊กสำหรับ macOS 'โทษพวกเขา' Henze เขียนในคำอธิบายของวิดีโอ ในแถลงการณ์ถึง Forbes , Henze ชี้แจงจุดยืนของเขาและกล่าวว่าการค้นพบช่องโหว่ต้องใช้เวลา
'การค้นหาช่องโหว่เช่นนี้ต้องใช้เวลา และฉันแค่คิดว่าการจ่ายเงินให้นักวิจัยเป็นสิ่งที่ถูกต้องที่ต้องทำ เพราะเรากำลังช่วย Apple ทำให้ผลิตภัณฑ์ของตนปลอดภัยยิ่งขึ้น'
Apple มีโปรแกรมรางวัลสำหรับ iOS ที่ให้เงินแก่ผู้ที่พบข้อบกพร่อง แต่ไม่มีระบบการชำระเงินที่คล้ายกันสำหรับข้อบกพร่องของ macOS
ตามเว็บไซต์เยอรมัน Heise Online ซึ่งพูดคุยกับ Henze ช่องโหว่ดังกล่าวทำให้สามารถเข้าถึงรายการ Mac Keychain ได้ แต่ไม่ใช่ข้อมูลที่จัดเก็บไว้ใน iCloud ต้องปลดล็อกพวงกุญแจด้วย ซึ่งเป็นสิ่งที่เกิดขึ้นโดยค่าเริ่มต้นเมื่อผู้ใช้ลงชื่อเข้าใช้บัญชีของตนบน Mac
พวงกุญแจสามารถล็อคได้โดยการเปิดแอพ Keychain แต่จะต้องป้อนรหัสผ่านของผู้ดูแลระบบทุกครั้งที่แอพพลิเคชั่นต้องการเข้าถึง Keychain ซึ่งอาจไม่สะดวก
ทีมรักษาความปลอดภัยของ Apple ได้ติดต่อ Henze แล้ว ZDNet แต่เขายังคงปฏิเสธที่จะให้รายละเอียดเพิ่มเติม เว้นแต่พวกเขาจะให้โปรแกรมหาข้อผิดพลาดสำหรับ macOS 'แม้ว่าจะดูเหมือนว่าฉันทำเพื่อเงิน แต่นี่ไม่ใช่แรงจูงใจของฉันเลยในกรณีนี้' เฮนเซ่กล่าว 'แรงจูงใจของฉันคือการให้ Apple สร้างโปรแกรมให้รางวัลจุดบกพร่อง ฉันคิดว่านี่เป็นสิ่งที่ดีที่สุดสำหรับทั้ง Apple และนักวิจัย'
นี่ไม่ใช่ช่องโหว่ที่เกี่ยวข้องกับพวงกุญแจแรกที่ค้นพบใน macOS Patrick Wardle นักวิจัยด้านความปลอดภัยได้สาธิตช่องโหว่ที่คล้ายกันในปี 2560 ซึ่งได้รับการแก้ไขแล้ว
โพสต์ยอดนิยม