Patrick Wardle biztonsági szakértő talált egy olyan biztonsági rést, amit kihasználva egy alkalmazás képes a Kulcskarikából szöveges formátumban kinyerni a jelszavakat. A Kulcskarika tárolja a jelszavainkat, amit aztán az operációs rendszerek - az iOS és a macOS - az oldalak ismételt látogatásánál felkínálnak, így azokat nem kell megjegyezni és beírni. A Kulcskarika ennek megfelelően nagyon erős, 256-bites AES titkosítást használ a jelszavak tárolásakor, ami értelmetlenné teszi azt, hogy “szemből” törjék fel.

De ezek szeirint van egy kiskapu is.

Egy app csak a saját számára tárolt jelszót képes dekódolni, de Wardle képest volt alkalmazásával a Twitter, a Facebook és a Bank of America jelszavának kinyeréséhez is a demójában. Az alkalmazása mindezt mindenféle felhasználói beavatkozás nélkül tette, automatikusan. Ismeretlen eredetű programok ugyanúgy lefuttathatják a kódot, mint aláírtak.

A biztonsági rés minden ismert macOS-ben ott van, nem a High Sierra sajátja. De az sem kivétel.

Wardle szeptember 7-én jelentette az Apple-nek a hiba részleteit, és megígérte, hogy addig nem hozza nyilvánosságra az eljárás részleteit, amíg az Apple be nem foltozta azt. Hamarosan tehát várható egy biztonsági frissítés, nagyon ajánlott lesz mindenkinek letölteni.