В macOS обнаружили уязвимость, которая позволяет воровать пароли Баг может поставить под угрозу Apple ID
В начале февраля 18-летний исследователь безопасности Лайнус Хенце из Германии обнаружил уязвимость в macOS, которая открывает доступ к паролям в «Связке ключей». Чтобы получить конфиденциальную информацию, Хенце использовал собственное приложение KeySteal.
Несмотря на то, что баг активен только на компьютерах Mac, пароли, синхронизируемые с другими устройствами Apple, могут оказаться под угрозой при использовании iCloud и «Связки ключей».
В разговоре с Forbes исследователь предположил, что программа вроде KeySteal может попасть на компьютер через другое приложение или веб-страницу с вредоносным кодом. Поскольку хакер может получить доступ к iCloud, уязвимость ставит под угрозу и Apple ID, отметил Хенце.
По просьбе издания баг протестировал Патрик Уордл, который в 2017 году обнаружил похожую ошибку. Бывший аналитик Агентства национальной безопасности США подтвердил находку Хенце и раскритиковал Apple, заявив, что бессмысленно создавать приложение для хранения самой конфиденциальной информации, которое само по себе уязвимо.
Хенце отказался помогать Apple в исправлении бага, потому что компания платит вознаграждения только тем исследователям, которые находят ошибки в iOS. Сама компания пока не прокомментировала ситуацию.
Источник: Forbes
