Patrick Wardle biztonsági szakértő talált egy olyan biztonsági rést, amit kihasználva egy alkalmazás képes a Kulcskarikából szöveges formátumban kinyerni a jelszavakat. A Kulcskarika tárolja a jelszavainkat, amit aztán az operációs rendszerek - az iOS és a macOS - az oldalak ismételt látogatásánál felkínálnak, így azokat nem kell megjegyezni és beírni. A Kulcskarika ennek megfelelően nagyon erős, 256-bites AES titkosítást használ a jelszavak tárolásakor, ami értelmetlenné teszi azt, hogy “szemből” törjék fel.
De ezek szeirint van egy kiskapu is.
Egy app csak a saját számára tárolt jelszót képes dekódolni, de Wardle képest volt alkalmazásával a Twitter, a Facebook és a Bank of America jelszavának kinyeréséhez is a demójában. Az alkalmazása mindezt mindenféle felhasználói beavatkozás nélkül tette, automatikusan. Ismeretlen eredetű programok ugyanúgy lefuttathatják a kódot, mint aláírtak.
A biztonsági rés minden ismert macOS-ben ott van, nem a High Sierra sajátja. De az sem kivétel.
Wardle szeptember 7-én jelentette az Apple-nek a hiba részleteit, és megígérte, hogy addig nem hozza nyilvánosságra az eljárás részleteit, amíg az Apple be nem foltozta azt. Hamarosan tehát várható egy biztonsági frissítés, nagyon ajánlott lesz mindenkinek letölteni.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.