本周,德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的零日漏洞,并在 YouTube 上公布了一段视频演示。对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 Keychain 应用程序来收集全部的敏感信息,而无需管理员访问权限(或管理员密码)。 Keychain 会暴露密码和其它信息,以及其它 macOS 用户的密码详情。 鉴于苹果没有针对 macOS 的漏洞赏金计划,Henze 尚未选择向苹果分享漏洞详情,但表示不会轻易将细节公布。其在视频描述中写到 ——“全都怪苹果!”(So blame them.)
据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。 德国网站 Heise Online 称,该漏洞允许访问 Mac 上 Keychain 的内容,但不能访问存储在 iCloud 中的信息。
ZDNet 指出,苹果安全团队已经同 Henze 取得了联系,但后者拒绝提供更多细节,除非苹果为 macOS 平台提供类似 iOS 的除虫奖励。 KeySteal - Stealing your keychain passwords on macOS Mojave(via) Henze 辩解道:“我这么做并不是掉进了钱眼里,这点动机并不足以促使我这么做。我是希望苹果创建一个 macOS 赏金计划,这对该公司和研究人员来说都是一件好事”。
[编译自:MacRumors] |