У macOS виявлена можливість обійти захист і отримати доступ до Зв’язки ключів


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

У High Sierra і ранніх версіях macOS була виявлена вразливість, яка дозволяє несанкціонованим додаткам красти незашифровані паролі, що зберігаються у Зв’язці ключів.

Зв’язка ключів – це цифрове сховище, в якому знаходяться паролі, дані кредитних карт та інша важлива інформація користувачів. Інженери компанії Apple розробили його таким чином, що встановлені додатки не можуть отримати доступ до його вмісту, поки користувач не введе основний пароль. Помічена в Зв’язці ключів уразливість, проте дозволяє несанкціонованим додаткам красти кожен незашифрований пароль без відома користувача. Патрік Уордл, колишній співробітник Агентства на­ціональної безпеки США і дослідник безпеки в Synack, виклав відео з демонстрацією цього процесу.

На відео показаний процес скачування додатка на Mac за керування High Sierra. Щойно додаток установлюється, можна побачити зломщика, який знаходиться на віддаленому сервері із запущеною мережевою утилітою Netcat. Коли зломщик натискає на кнопку “exfil keychain”, додаток таємно витягає всі паролі, розташовані в Зв’язці ключів, і завантажує їх на сервер. Для крадіжки не потрібно втручання користувача, за винятком установки несанкціонованого додатка. Ні додаток, ні macOS не просять жодних дозволів і не показують застережень.

Представник компанії Apple відправив електронною поштою заяву:

macOS створена, щоб бути безпечною. Gatekeeper попереджає користувачів про скачування неліцензованих додатків. Також система застерігає користувачів від запуску підозрілих програм без дозволу. Ми наполегливо рекомендуємо користувачам скачувати ПЗ тільки з надійних джерел, таких як Mac App Store, і звертати особливу увагу на діалогові вікна безпеки, які з’являються в macOS.

За умовчанням Gatekeeper застерігає користувачів Mac від установки додатків, якщо вони не мають цифрового підпису розробників. Хоча додаток у відео і не має підпису і, як результат, не може бути встановлене за умовчанням на Mac, уразливість може поширюватися і через додатки з ліцензією. Все, що вимагається для цифрового підпису, – членство в Apple Developer Program вартістю $99 на рік.

І це вже не перша помилка Apple, пов’язана з безпекою десктопної операційної системи компанії. Ще до релізу оновлення Патрік виявив й інші вразливості в macOS, пов’язані з новою системою захисту ядра SKEL.

Джерело: Ars Technica

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *