Linuz Henze, znany specjalista od cyberbezpieczeństwa, odkrył nową, groźną lukę w systemie macOS od Apple. Ta dotyczy funkcji Keychain w tym systemie operacyjnym, której zadaniem jest przechowywanie haseł, prywatnych kluczy i innych danych uwierzytelniania użytkowników. Henze zademonstrował działającą aplikację, którą można wykorzystać w złośliwy sposób do wykradania danych z Keychain w naszym komputerze Mac, otrzymując dostęp do haseł praktycznie do wszystkiego, od serwisów streamingowych pokroju Netflixa, przez sklepy, aż po konto bankowe. Co jeszcze bardziej szokuje, exploit nie wymaga praktycznie specjalnych dodatkowych uprawnień (np. amdinistratora), by pozwolić na wydobycie danych z Keychain, a zdaniem Henze może być on także dołączony do „normalnej” aplikacji lub też użytkownik może być przekierowany do złośliwej strony, która zainfekuje nasz komputer. Do przeprowadzenia operacji wystarczy, że działać będzie prosta aplikacja.
Haker zademonstrował działającą aplikację, którą można wykorzystać w złośliwy sposób do wykradania danych z Keychain w naszym komputerze Mac, otrzymując dostęp do naszych haseł.
Luka występuje tylko w systemie macOS (nawet jego najnowszej wersji macOS Mojave) i nie wpływa bezpośrednio na Keychain w iCloud, który wykorzystywany jest na urządzeniach działających pod kontrolą iOS. Niemniej jednak, jeśli zsynchronizujemy dany Keychain iOS pomiędzy naszym iPhonem lub iPadem a Mackiem, to wszystkie nasze urządzenia mogą być narażone na tę podatność. Wydawać by się mogło, że teraz, kiedy Henze ujawnił już lukę, to zapewne wcześniej podzielił się swoim odkryciem z Apple, które zdążyło ją już załatać. Nic z tego, ponieważ młody specjalista od cyberbezpieczeństwa (Linuz Henze ma 18 lat) postanowił nie podzielić się szczegółami swojego odkrycia z gigantem z Cupertino w ramach protestu przeciwko polityce firmy, która płaci specjalne nagrody (Bug Bounty) tylko w przypadku luk odkrytych w iOS. Producent nie oferuje podobnego wynagrodzenia w przypadku macOS, więc Henze uznał, że w takim wypadku nie podzieli się z Apple swoją pracą za darmo.
„Wygląda to jakby mieli gdzieś macOC” - tłumaczy swoją decyzję Henze, który dodaje, że „znalezienie luk takich jak ta wymaga dużo czasu i dlatego uważam, że opłacanie specjalistów takich jak ja powinno być w interesie Apple, ponieważ pomagamy im poprawiać bezpieczeństwo ich produktu”. Z jednej strony działanie Henze może wydawać się bardzo oportunistyczne, ale ciekawe jest także, jak Apple tłumaczy, że oferuje nagrody finansowe jedynie za luki odkryte w mobilnym systemie, a w macOS już nie. Jest to szczególnie intrygujące w przypadku tych platformach, ponieważ są one ze sobą ściśle zintegrowane. Co ciekawe, to już drugi przypadek w ostatnich tygodniach, kiedy to nastolatek ujawnia problemy z bezpieczeństwem w produktach Apple. Niedawno 14-latek próbował bowiem ostrzec firmę o błędzie w funkcji grupowych rozmów FaceTime, który pozwalał na podsłuchiwanie innych, zanim ci odbiorą połączenie. Patch dla tej luki powinien zostać opublikowany w tym tygodniu, ale nie wiadomo jeszcze kiedy, załatany zostanie Keychain w macOS.
Pokaż / Dodaj komentarze do: Haker odkrył groźną lukę w macOS, ale nie chce podać szczegółów Apple