В начале февраля 18-летний исследователь безопасности Лайнус Хенце из Германии обнаружил уязвимость в macOS, которая открывает доступ к паролям в «Связке ключей». Чтобы получить конфиденциальную информацию, Хенце использовал собственное приложение KeySteal.

Несмотря на то, что баг активен только на компьютерах Mac, пароли, синхронизируемые с другими устройствами Apple, могут оказаться под угрозой при использовании iCloud и «Связки ключей».

Скринкаст Хенце с демонстрацией уязвимости

В разговоре с Forbes исследователь предположил, что программа вроде KeySteal может попасть на компьютер через другое приложение или веб-страницу с вредоносным кодом. Поскольку хакер может получить доступ к iCloud, уязвимость ставит под угрозу и Apple ID, отметил Хенце.

По просьбе издания баг протестировал Патрик Уордл, который в 2017 году обнаружил похожую ошибку. Бывший аналитик Агентства национальной безопасности США подтвердил находку Хенце и раскритиковал Apple, заявив, что бессмысленно создавать приложение для хранения самой конфиденциальной информации, которое само по себе уязвимо.

Хенце отказался помогать Apple в исправлении бага, потому что компания платит вознаграждения только тем исследователям, которые находят ошибки в iOS. Сама компания пока не прокомментировала ситуацию.


Источник: Forbes

Подписывайтесь на нас!