itkvariat

    MacOS High Sierra взломали за несколько часов до ее официального выхода (+видео)




    Буквально только что компания Apple выпустила новую версию своей операционной системы для настольных компьютеров и ноутбуков, macOS High Sierra. Однако, Патрик Уордл, бывший хакер NSA, смог найти в ней уязвимость за несколько часов до выхода.

    Патрик Уордл, который теперь является главным исследователем безопасности в Synack, опубликовал видеоролик о рабочем способе эксфильтрации паролей, которые хранятся в цепочке ключей Mac, для которой обычно требуется пароль для входа.

    Уордл показал, что найденная им уязвимость позволяет злоумышленнику захватывать и красть каждый пароль в текстовом формате, используя неподписанное приложение, загруженное из Интернета, без необходимости ввода мастер-пароля доступа к цепочке.

    Уордл проверил эксплойт на High Sierra, но заявил, что более старые версии macOS и OS X также уязвимы.

    Патрик даже разместил в Твиттере короткое видео, демонстрирующее хак:


    Уордл создал приложение "keychainStealer", демонстрирующее локальный эксплойт для этой уязвимости, который, согласно видео, может выставлять пароли на веб-сайты, службы и номера кредитных карт, когда пользователь вошел в систему. Этот эксплойт может быть включен в законное приложение или отправлен по электронной почте.

    "Если бы я был хакером или проектировал "имплант" в macOS, это был бы "dump keychain"-плагин", - сказал Уордл.

    На самом деле Уордл выявил ошибку и сообщил о ней в Apple еще в начале этого месяца, "но, к сожалению, патч не попал в финальную версию High Sierra".

    "Будучи страстным пользователем Mac, я постоянно разочаровываюсь в безопасности macOS", - сказал он. "Я не хочу, чтобы кто-то в Apple был наказан, но каждый раз, когда я проверяю macOS, в ней находится недостаток. Я уверен, что пользователи должны знать о рисках, которые в ней есть. И я уверен, что аналогичные возможности для взлома есть и у злоумышленников".

    "Маркетинг Apple проделал большую работу, убедив людей в том, что macOS безопасен, и я думаю, что это довольно безответственно и приводит к проблемам, когда пользователи Mac становятся слишком самоуверенны и, следовательно,- более уязвимы", - добавил он.

    В своем твитте Уордл предположил, что Apple должна запустить программу стимулирующих вознаграждений за найденные ошибки в macOS. Сейчас такая программа действует для iPhone и iPad, когда пользователи могут получить до 200 000 долларов за высокопроизводительные эксплойты для их программного обеспечения.

    Это уже вторая уязвимость MacOS High Sierra, которую Уордл обнаружил в этом месяце. Первая показывает, как можно обойти функцию загрузки безопасного расширения ядра нового программного обеспечения.

    В Apple пока никак не комментируют сложившуюся ситуацию.



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!

    Иван Ковалев

    Источник

    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

    И еще на эту тему...
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express
  • «Сапожник без сапог». SSD-накопитель Intel SSD 540s


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
UNICON & GAMEEXPO 2019


SMART CITY FORUM

Лучший ЭДО в России и СНГ 2019

Что бывало...

Проверьте скорость вашего интернета!


Самое популярное
    
Наши друзья
Vivaldi

Майки с картинками

Самоклейкин

Смарт

Hoster

«    Август 2019    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
262728293031 

MacOS High Sierra взломали за несколько часов до ее официального выхода (+видео)




Буквально только что компания Apple выпустила новую версию своей операционной системы для настольных компьютеров и ноутбуков, macOS High Sierra. Однако, Патрик Уордл, бывший хакер NSA, смог найти в ней уязвимость за несколько часов до выхода.

Патрик Уордл, который теперь является главным исследователем безопасности в Synack, опубликовал видеоролик о рабочем способе эксфильтрации паролей, которые хранятся в цепочке ключей Mac, для которой обычно требуется пароль для входа.

Уордл показал, что найденная им уязвимость позволяет злоумышленнику захватывать и красть каждый пароль в текстовом формате, используя неподписанное приложение, загруженное из Интернета, без необходимости ввода мастер-пароля доступа к цепочке.

Уордл проверил эксплойт на High Sierra, но заявил, что более старые версии macOS и OS X также уязвимы.

Патрик даже разместил в Твиттере короткое видео, демонстрирующее хак:


Уордл создал приложение "keychainStealer", демонстрирующее локальный эксплойт для этой уязвимости, который, согласно видео, может выставлять пароли на веб-сайты, службы и номера кредитных карт, когда пользователь вошел в систему. Этот эксплойт может быть включен в законное приложение или отправлен по электронной почте.

"Если бы я был хакером или проектировал "имплант" в macOS, это был бы "dump keychain"-плагин", - сказал Уордл.

На самом деле Уордл выявил ошибку и сообщил о ней в Apple еще в начале этого месяца, "но, к сожалению, патч не попал в финальную версию High Sierra".

"Будучи страстным пользователем Mac, я постоянно разочаровываюсь в безопасности macOS", - сказал он. "Я не хочу, чтобы кто-то в Apple был наказан, но каждый раз, когда я проверяю macOS, в ней находится недостаток. Я уверен, что пользователи должны знать о рисках, которые в ней есть. И я уверен, что аналогичные возможности для взлома есть и у злоумышленников".

"Маркетинг Apple проделал большую работу, убедив людей в том, что macOS безопасен, и я думаю, что это довольно безответственно и приводит к проблемам, когда пользователи Mac становятся слишком самоуверенны и, следовательно,- более уязвимы", - добавил он.

В своем твитте Уордл предположил, что Apple должна запустить программу стимулирующих вознаграждений за найденные ошибки в macOS. Сейчас такая программа действует для iPhone и iPad, когда пользователи могут получить до 200 000 долларов за высокопроизводительные эксплойты для их программного обеспечения.

Это уже вторая уязвимость MacOS High Sierra, которую Уордл обнаружил в этом месяце. Первая показывает, как можно обойти функцию загрузки безопасного расширения ядра нового программного обеспечения.

В Apple пока никак не комментируют сложившуюся ситуацию.



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Иван Ковалев

Источник

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

И еще на эту тему...
  • Почему я вернул Macbook Pro через день использования и что я понял о будущем Apple
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express
  • «Сапожник без сапог». SSD-накопитель Intel SSD 540s


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2019