En tysk sikkerheds-forsker har offentliggjort en video, der i weekenden, viser et nyt nul-dag, der påvirker Apple ‘ s macOS desktop operativsystem.
Også: Online-sikkerhed 101: Tips til at beskytte dit privatliv
I et interview til den tyske tech site Heise, Linus Henze, sikkerhedsekspert, siger sårbarheden gjorde det muligt for et ondsindet program, der kører på en macOS system for at få adgang til adgangskoder, der er gemt inde i Nøgleringen –password management system bygget ind i alle macOS-distributioner.
Den udnyttelse, der er meget effektiv, fordi den ondsindede app ikke brug for admin adgang til at hente passwords fra brugerens Nøglering-fil, og kan endda hente indholdet af andre Nøglering filer, som gemme adgangskoder til andre macOS brugere.
Henze har ikke offentliggjort nogen proof-of-concept kode for at støtte sin konklusion, bortset fra en YouTube video, men en respekteret Apple sikkerhedsekspert bekræftet i en Forbes artikel i dag, at udnytte eksisterer og virker som beskrevet i den tyske nyheder site interview.
Henze ikke rapportere den svaghed, at Apple før de går til offentligheden med sin video. Han nævnte selskabets mangel af en bug bounty program til macOS som den primære årsag. Apple kører bug bounty programmer til andre produkter, men ikke for macOS.
Tale til ZDNet, Henze sagde, at Apple ‘ s sikkerhed team var nået ud i går, efter at hans forskning er begyndt at få opmærksomhed i medierne.
Apple security team bedt om flere oplysninger, men han afslog, medmindre de starter en bug bounty til macOS, og belønne sikkerhedseksperter for de fejl de finder i mac os.
“Selv om det ser ud som jeg gør det kun for pengene, det er ikke min motivation på alle i dette tilfælde,” Henze fortalte ZDNet i dag. “Min motivation er at få Apple til at oprette en bug bounty program. Jeg tror, at dette er bedst for både Apple og Forskere.”
“Jeg elsker virkelig at Apple-produkter, og jeg vil gøre dem mere sikre. Og den bedste måde at gøre dem mere sikre ville være, efter min mening, hvis Apple skaber en bug bounty program (som andre store virksomheder, der allerede har),” den forsker, der fortalte os.
Skal læse
5 måder at håndhæve virksomhedens sikkerhed (TechRepublic)
Brud på datasikkerheden kan sucker-punch dig. Forbered dig på at kæmpe tilbage (CNET)
En Apple-talsmand ikke returnere en anmodning om kommentar fra ZDNet forud for denne artikels offentliggørelse.
Henze ‘ s macOS nul-dag –som han omtaler som KeySteal– er noget, der ligner et andet macOS zero-day er opkaldt KeychainStealer, der blev opdaget af Patrick Wardle i September 2017. Tilfældigvis, Wardle er uafhængige af Apple sikkerhed ekspert, der bekræftede, Henze ‘ s nul-dag til Forbes tidligere i dag.
Mere sikkerhed dækning:
Google frigiver udvidelse i Chrome, til at kontrollere for lækket brugernavne og passwordsPentesters brud 92 procent af virksomhederne, rapport claimsScammer grupper udnytter Gmail ‘dot regnskab for online fraudApple undskylder for FaceTime aflytning fejl, opdatering kommer i næste uge
EU ‘ s ordrer tilbagekaldelse af børns smartwatch over alvorlige personlige concernsApple deaktiverer Gruppe FaceTime functionApple løser sin FaceTime fejl. Du vil få en software update snart CNET
Apples enterprise app krig med Facebook, Google kunne støtte Android TechRepublic
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre