18-летний подросток Линус Хенц нашёл уязвимость в macOS, благодаря которой можно получить доступ к учётным записям без прав администратора или суперпользователя.
В iOS и macOS есть функция Связка ключей, в которой хранятся сохранённые данные от различных сервисов и сайтов. Для их просмотра нужно ввести пароль от аккаунта.
Хенц узнал, как обойти это ограничение. Но в качестве протеста он не собирается делиться подробностями с Apple, так как программа вознаграждений распространяется только на iOS, но не macOS.
Зато показал, как написанная им программа для взлома Связки ключей работает:
Функционирует его приложение только с локально-сохранёнными данными. Хранящуюся в iCloud информацию оно не затрагивает.
Ждём реакцию Apple. [Engadget]
Из памяти процесса тащит очевидно. Не зря же он держит связку ключей открытой при запуске своей софтины. Полной защиты от таких атак нет ни в одной системе
@picatchy, угу осталось ответить на вопрос – с хера ли они в памяти в открытом виде, если он первый раз пароль не вводил. А так да, конечно, не такой защиты, особенно если пароли (супрыз!) в открытом виде, а ввод пароля – чистая бутафория.
@stepkin2, что же вы хомячку всю отмазу обрушили. )
@picatchy, значит, вредоносное приложение может просто запустить Keychain Access.app и получить все пароли? Отличная защита.