En tysk säkerhet forskare har publicerat en video under helgen visar en ny noll-dag påverkar Apples macOS desktop-operativsystem.
I en intervju till tyska tech plats Heise, Linus Henze, säkerhetsforskare, säger sårbarhet gör en skadlig app som körs på ett macOS-system för att få tillgång till lösenord sparade i Nyckelring –system för att hantera lösenord inbyggd i alla macOS-distributioner.
Utnyttja är mycket effektiv eftersom skadlig app inte behöver administratörsbehörighet för att hämta lösenord från användaren Nyckelring filen, och kan även hämta innehållet i andra Nyckelring-filer, som lagrar lösenord för andra macOS-användare.
Henze har inte offentliggjort några proof-of-concept-koden till stöd för sin slutsats, med undantag för en YouTube-video, men en väl respekterad Apple säkerhet forskare bekräftat i en Forbes artikel idag att utnyttja finns och fungerar så som beskrivs i den tyska nyhetssajt intervju.
Henze inte rapportera säkerhetsproblem till Apple innan du går ut offentligt med sina video. Han hänvisas till bolagets avsaknaden av en bug bounty programmet för macOS som den främsta orsaken. Apple kör bug bounty program för andra produkter, men inte för macOS.
Sett till ZDNet Henze sade att Apples säkerhet laget hade nått ut i går efter hans forskning har börjat att få uppmärksamhet i media.
Apple security team bad för fler detaljer, men han avböjde såvida de inte börja en bug bounty för macOS, och att belöna säkerhetsforskare för de fel de hittar i macOS.
“Även om det ser ut som jag gör det bara för pengarna, detta är inte min motivation alls i detta fall,” Henze berättade ZDNet idag. “Min drivkraft är att få Apple att skapa en bug bounty program. Jag tror att detta är det bästa för både Apple och Forskare.”
“Jag gillar verkligen Apples produkter, och jag vill göra dem säkrare. Och det bästa sättet att göra dem säkrare skulle vara, i min mening, om Apple skapar en bug bounty-program (liksom andra stora företag som redan har),” forskaren berättade för oss.
En Apple talesperson kom inte tillbaka en begäran om en kommentar från ZDNet innan denna artikel publicerades.
Henze är macOS zero-day-som han hänvisar till som KeySteal– är något liknande till en annan macOS zero-day heter KeychainStealer, upptäckt av Patrick Wardle i September 2017. Av en tillfällighet, Wardle är oberoende Apple säkerhetsexpert som bekräftade Henze noll-dag för Forbes tidigare idag.
Mer trygghet:
Google släpper Chrome för att kontrollera om det läckt ut användarnamn och passwordsPentesters brott 92 procent av företag, rapport claimsScammer grupper utnyttjar Gmail dot-konton för online fraudApple ber om ursäkt för FaceTime avlyssning bugg, uppdatering kommer nästa vecka
EU: s order minns av barns smartwatch över svåra integritet concernsApple inaktiverar Gruppen FaceTime functionApple fixar sin FaceTime fel. Du kommer att få en uppdatering av programvaran snart CNET
Apples enterprise app krig med Facebook, Google kan hjälpa Android TechRepublic
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter