Обновление настольной операционной системы вышло вчера, но уже сегодня появились первые тревожные новости.
Оказывается, сторонние приложения могут получить доступ к паролям из Связки ключей. Уязвимость обнаружил бывший хакер Агенства национальной безопасности США, Патрик Уордл. Он создал программку под названием keychainStealer, которая без труда вытащила логины и пароли, хранящиеся в Связке ключей.
Для тех, кто ничего не понял: так можно взломать странички соцсетей или платёжных сервисов. Конечно, если там не включена двухфакторная аутентификация.
Я обнаружил брешь, через которую стороннее приложение может получить доступ к данным из Связки ключей без пароля администратора. — сказал Патрик Уордл
В своём видеоподтверждении, хакер вытащил пароли за несколько кликов. Всё же, Уордл отметил, что эксплоит основывается не только на уязвимости SKOS, но и на предположении о том, что пароль входа в систему совпадает с паролем от Связки ключей.
Эксперт утверждает, что передал Apple все алгоритмы обхода безопасности ещё в начале сентября. Что не помешало Купертиновцам выпустить финальную версию macOS с всё той же брешью.
С другой стороны, в ролике видно, как перед запуском keychainStealer система предупредила о том, что это приложение из непроверенного источника. И за всё, что происходит после нажатия кнопки «Done» ответственен именно пользователь. [thehackernews]
P.S. по словам хакера, эта уязвимость вполне может коснуться даже El Capitan. Правда, она была протестирована только на различных версиях macOS High Sierra.
14 комментариев
Форум →Очередной вирус\эксплоит с инструкцией для его установки.
@Майор, несчастный Transmission несколько раз взламывали. Тоже самое может быть с любым “доверенным” приложением.
@Mikhael, Handbrake то-же. Но, проблема в том, что многие пользователи не обращают внимания на запрос пароля.
@Phonerz, в данном случае просто приложение должно быть доверенным или подписанным. Это без паролей происходит.
Я уссываюсь дорогая редакция )))
Один пишет статью “8 смертных грехов Windows-ноутбуков” где говорится о супер безопасности Apple и тут же про это ))))))))))))
Обновление готовилось- ни слова, были беты/- ни слова, анонсировали обнову- люди полетели и на тебе! Ну вот как же так быстро нашли эту уязвимость? Прогшдо то с выхода до обнаружения пол часа…
@VsG, он обнаружил её в начале сентября и сразу сообщил об этом Apple, в надежде, что финальный релиз закроет брешь. Так как этого не случилось, хакер опубликовал видеопруф с предостережением.
Меня эта уязвимость не коснулась. Мой мак во время обновления просто помер. Збс.
Везите к доктору. Там могли быть старые болячки)
У меня нормально обновилось, кстати.
@iWolf, у меня остановилось на 30% и висело яблоко пять часов, я решил ребутнуть кнопкой))) это привело к системной ошибке при запуске и цикличной перезагрузке, после этого я решил загрузиться в режиме восстановления, выбрал пункт новая установка, дал доступ в интернет и через час получил установленную систему со всеми программами и файлами что были у меня на старой системе…не верил что что-то сохранится, но вот так произошло, чему я рад вполне, но теперь буду делать бэкапы конечно)))
@iWolf, У меня тоже air сдох, ну и славу богу давно хотел от него избавится. Поехал и купил Lenovo Yoga Book на windows, доволен как слон маленький, легкий, удобный и для документов то что надо.
И самое главное автономность на высоте и цена приемлемая.
Мда……
Как хорошо, что я сознательно остановил обновления на 10.9 и радуюсь жизни.
Это не баг это фича, она давно была, мы так доставали пароль от почты умершего человека, набрав в терминале команду:
security find-internet-password -s [адрес_сайта] -w
Самое смешное, что даже не нужно запускать ее под суперюзером.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как удалить все письма в ящике на iOS 10?
Как облегчить доступ к уведомлениям на iPhone X
Как на iPhone запретить изменение кода разблокировки
Почему на iPhone не получается передать сохраненный пароль по AirDrop
Что делать, если пропала вибрация в будильнике на Apple Watch
Как отправить обычное СМС вместо iMessage?
Как исправить ошибку 0xE8000001 при подключении iPhone?
Как получить новое приложение Дневник на iPhone