itkvariat

    MacOS High Sierra взломали за несколько часов до ее официального выхода (+видео)




    Буквально только что компания Apple выпустила новую версию своей операционной системы для настольных компьютеров и ноутбуков, macOS High Sierra. Однако, Патрик Уордл, бывший хакер NSA, смог найти в ней уязвимость за несколько часов до выхода.

    Патрик Уордл, который теперь является главным исследователем безопасности в Synack, опубликовал видеоролик о рабочем способе эксфильтрации паролей, которые хранятся в цепочке ключей Mac, для которой обычно требуется пароль для входа.

    Уордл показал, что найденная им уязвимость позволяет злоумышленнику захватывать и красть каждый пароль в текстовом формате, используя неподписанное приложение, загруженное из Интернета, без необходимости ввода мастер-пароля доступа к цепочке.

    Уордл проверил эксплойт на High Sierra, но заявил, что более старые версии macOS и OS X также уязвимы.

    Патрик даже разместил в Твиттере короткое видео, демонстрирующее хак:


    Уордл создал приложение "keychainStealer", демонстрирующее локальный эксплойт для этой уязвимости, который, согласно видео, может выставлять пароли на веб-сайты, службы и номера кредитных карт, когда пользователь вошел в систему. Этот эксплойт может быть включен в законное приложение или отправлен по электронной почте.

    "Если бы я был хакером или проектировал "имплант" в macOS, это был бы "dump keychain"-плагин", - сказал Уордл.

    На самом деле Уордл выявил ошибку и сообщил о ней в Apple еще в начале этого месяца, "но, к сожалению, патч не попал в финальную версию High Sierra".

    "Будучи страстным пользователем Mac, я постоянно разочаровываюсь в безопасности macOS", - сказал он. "Я не хочу, чтобы кто-то в Apple был наказан, но каждый раз, когда я проверяю macOS, в ней находится недостаток. Я уверен, что пользователи должны знать о рисках, которые в ней есть. И я уверен, что аналогичные возможности для взлома есть и у злоумышленников".

    "Маркетинг Apple проделал большую работу, убедив людей в том, что macOS безопасен, и я думаю, что это довольно безответственно и приводит к проблемам, когда пользователи Mac становятся слишком самоуверенны и, следовательно,- более уязвимы", - добавил он.

    В своем твитте Уордл предположил, что Apple должна запустить программу стимулирующих вознаграждений за найденные ошибки в macOS. Сейчас такая программа действует для iPhone и iPad, когда пользователи могут получить до 200 000 долларов за высокопроизводительные эксплойты для их программного обеспечения.

    Это уже вторая уязвимость MacOS High Sierra, которую Уордл обнаружил в этом месяце. Первая показывает, как можно обойти функцию загрузки безопасного расширения ядра нового программного обеспечения.

    В Apple пока никак не комментируют сложившуюся ситуацию.



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!

    Иван Ковалев

    Источник

    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

    И еще на эту тему...
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express
  • «Сапожник без сапог». SSD-накопитель Intel SSD 540s


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
журнал Генеральный директор


Что бывало...

Проверьте скорость вашего интернета!


Самое популярное
    
Наши друзья
Vivaldi

Студия 3D-печати PRO3D

Майки с картинками

Самоклейкин

Смарт

Hoster


MacOS High Sierra взломали за несколько часов до ее официального выхода (+видео)




Буквально только что компания Apple выпустила новую версию своей операционной системы для настольных компьютеров и ноутбуков, macOS High Sierra. Однако, Патрик Уордл, бывший хакер NSA, смог найти в ней уязвимость за несколько часов до выхода.

Патрик Уордл, который теперь является главным исследователем безопасности в Synack, опубликовал видеоролик о рабочем способе эксфильтрации паролей, которые хранятся в цепочке ключей Mac, для которой обычно требуется пароль для входа.

Уордл показал, что найденная им уязвимость позволяет злоумышленнику захватывать и красть каждый пароль в текстовом формате, используя неподписанное приложение, загруженное из Интернета, без необходимости ввода мастер-пароля доступа к цепочке.

Уордл проверил эксплойт на High Sierra, но заявил, что более старые версии macOS и OS X также уязвимы.

Патрик даже разместил в Твиттере короткое видео, демонстрирующее хак:


Уордл создал приложение "keychainStealer", демонстрирующее локальный эксплойт для этой уязвимости, который, согласно видео, может выставлять пароли на веб-сайты, службы и номера кредитных карт, когда пользователь вошел в систему. Этот эксплойт может быть включен в законное приложение или отправлен по электронной почте.

"Если бы я был хакером или проектировал "имплант" в macOS, это был бы "dump keychain"-плагин", - сказал Уордл.

На самом деле Уордл выявил ошибку и сообщил о ней в Apple еще в начале этого месяца, "но, к сожалению, патч не попал в финальную версию High Sierra".

"Будучи страстным пользователем Mac, я постоянно разочаровываюсь в безопасности macOS", - сказал он. "Я не хочу, чтобы кто-то в Apple был наказан, но каждый раз, когда я проверяю macOS, в ней находится недостаток. Я уверен, что пользователи должны знать о рисках, которые в ней есть. И я уверен, что аналогичные возможности для взлома есть и у злоумышленников".

"Маркетинг Apple проделал большую работу, убедив людей в том, что macOS безопасен, и я думаю, что это довольно безответственно и приводит к проблемам, когда пользователи Mac становятся слишком самоуверенны и, следовательно,- более уязвимы", - добавил он.

В своем твитте Уордл предположил, что Apple должна запустить программу стимулирующих вознаграждений за найденные ошибки в macOS. Сейчас такая программа действует для iPhone и iPad, когда пользователи могут получить до 200 000 долларов за высокопроизводительные эксплойты для их программного обеспечения.

Это уже вторая уязвимость MacOS High Sierra, которую Уордл обнаружил в этом месяце. Первая показывает, как можно обойти функцию загрузки безопасного расширения ядра нового программного обеспечения.

В Apple пока никак не комментируют сложившуюся ситуацию.



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Иван Ковалев

Источник

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

И еще на эту тему...
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express
  • «Сапожник без сапог». SSD-накопитель Intel SSD 540s


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2019