Een duitse security-onderzoeker heeft een video gepubliceerd over het weekend met een nieuwe zero-day invloed zijn op Apple ‘ s macOS desktop operating system.
In een interview met het duitse tech-site Heise, Linus Henze, de security-onderzoeker, zegt de kwetsbaarheid kan een kwaadaardige app die draait op een mac os-systeem om toegang te krijgen tot wachtwoorden opgeslagen in de Keychain –password management systeem ingebouwd in alle macOS-distributies.
De exploit is zeer efficiënt omdat de kwaadaardige app niet nodig de toegang van de beheerder voor het ophalen van de wachtwoorden van de gebruiker Sleutelhanger bestand, en kan zelfs het ophalen van de inhoud van andere Sleutelhanger bestanden opgeslagen wachtwoorden voor andere macOS gebruikers.
Henze heeft niet bekendgemaakt welke proof-of-concept code ter ondersteuning van zijn bevindingen, met uitzondering van een YouTube-video, maar een gerespecteerde Apple security-onderzoeker bevestigd in een Forbes-artikel van vandaag, dat de exploit bestaat en werkt, zoals beschreven in de duitse nieuwssite interview.
Henze niet melden van de kwetsbaarheid van Apple voordat ze openbaar met zijn video. Hij haalde het bedrijf is het ontbreken van een bug bounty ‘ programma voor macOS als de voornaamste reden. Apple loopt bug bounty ‘ s voor andere producten, maar niet voor macOS.
Spreekt ZDNet, Henze zegt dat Apple ‘ s security team bereikt hadden gisteren na zijn onderzoek is begonnen met het krijgen van media-aandacht.
De Apple security team gevraagd om meer details, maar hij weigerde, tenzij ze beginnen een bug bounty voor macOS en beloning de onderzoekers van de veiligheid voor de fouten die zij in macOS.
“Zelfs als het lijkt alsof ik dit alleen doen voor het geld, dit is niet mijn motivatie op alle in dit geval,” Henze vertelde ZDNet vandaag. “Mijn motivatie is om Apple te maken van een bug bounty’ programma. Ik denk dat dit het beste is voor zowel Apple en Onderzoekers.”
“Ik hou echt van Apple producten, en ik wil hen niet meer veilig. En de beste manier om ze veiliger zouden zijn, in mijn opinie, als Apple maakt een bug bounty ‘ programma (net als andere grote bedrijven die al hebben),” de onderzoeker vertelde ons op.
Een Apple woordvoerder niet terug van een verzoek om commentaar van ZDNet voorafgaand aan de publicatie.
Henze ‘ s macOS zero-day –die hij verwijst als KeySteal– is enigszins vergelijkbaar met een andere macOS zero-day genoemd KeychainStealer, ontdekt door Patrick Wardle in September 2017. Toevallig, Wardle is de onafhankelijke Apple security expert, die bevestigde Henze ‘ s zero-day voor Forbes eerder vandaag.
Meer zekerheid:
Google releases Chrome-extensie om te controleren voor gelekt gebruikersnamen en passwordsPentesters schending 92 procent van de bedrijven, rapport claimsScammer groepen zijn het benutten van Gmail ‘punt ‘ accounts’ voor online fraudApple verontschuldigt zich voor FaceTime afluisteren bug in de update komt volgende week
EU bestellingen oproepen van kinderen smartwatch over ernstige privacy concernsApple schakelt Groep FaceTime functionApple corrigeert de FaceTime-bug. U krijgt een software update snel CNET
Apple ‘ s enterprise app oorlog met Facebook, Google kan steun op Android TechRepublic
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters