18-летний житель Германии, исследователь безопасности Лайнус Хенце нашел уязвимость, которая позволяет получить доступ ко всем паролям, сохраненным в "Cвязке ключей" в macOS, сообщает Toppress.kz со ссылкой на TJ.
С помощью собственной программы KeySteal в опубликованном на YouTube ролике, он продемонстрировал, как без прав администратора можно украсть конфиденциальную информацию.
Несмотря на то, что баг работает только на компьютерах Mac, пароли, синхронизируемые с iPhone и другими устройствами Apple, также могут оказаться под угрозой при использовании iCloud.
В интервью с Forbes исследователь предположил, что подобная программа может попасть в macOS через обычное приложение или веб-страницу с вредоносным кодом. А поскольку хакер может получить доступ к iCloud, то Apple ID тоже окажется в опасности, считает Хенце.
Тем не менее он отказался помогать Apple, потому что компания платит вознаграждения только тем исследователям, которые находят ошибки в iOS, но не в macOS.
На момент публикации Apple не дала комментариев.
Кажется, что им плевать на macOS. На поиск уязвимостей уходит много времени. Думаю, что исследователям стоит платить, поскольку мы помогаем Apple делать их продукты более безопасными, – заявил 18-летний Лайнус Хенце.
Специально для Forbes баг протестировал Патрик Уордл (Patrick Wardle), который в 2017 году обнаружил похожий баг. Бывший аналитик Агентства национальной безопасности США был поражен находкой молодого Хенце.
Немного обескураживает, что Apple не может понять, как обеспечить безопасность "Связки ключей". Какой смысл создавать приложение для хранения самой конфиденциальной информации в системе, если этот механизм уязвим, – отметил специалист безопасности, основатель Digita Security Патрик Уордл.
