Обновление настольной операционной системы вышло вчера, но уже сегодня появились первые тревожные новости.
Оказывается, сторонние приложения могут получить доступ к паролям из Связки ключей. Уязвимость обнаружил бывший хакер Агенства национальной безопасности США, Патрик Уордл. Он создал программку под названием keychainStealer, которая без труда вытащила логины и пароли, хранящиеся в Связке ключей.
Для тех, кто ничего не понял: так можно взломать странички соцсетей или платёжных сервисов. Конечно, если там не включена двухфакторная аутентификация.
Я обнаружил брешь, через которую стороннее приложение может получить доступ к данным из Связки ключей без пароля администратора. — сказал Патрик Уордл
В своём видеоподтверждении, хакер вытащил пароли за несколько кликов. Всё же, Уордл отметил, что эксплоит основывается не только на уязвимости SKOS, но и на предположении о том, что пароль входа в систему совпадает с паролем от Связки ключей.
Эксперт утверждает, что передал Apple все алгоритмы обхода безопасности ещё в начале сентября. Что не помешало Купертиновцам выпустить финальную версию macOS с всё той же брешью.
С другой стороны, в ролике видно, как перед запуском keychainStealer система предупредила о том, что это приложение из непроверенного источника. И за всё, что происходит после нажатия кнопки «Done» ответственен именно пользователь. [thehackernews]
P.S. по словам хакера, эта уязвимость вполне может коснуться даже El Capitan. Правда, она была протестирована только на различных версиях macOS High Sierra.
14 комментариев