В MacOS есть новая серьезная уязвимость, которая, по сути, оставляет пароли вашего компьютера открытыми, чтобы их могли украсть хакеры. Его название: KeySteal.
Здесь вы можете увидеть это в действии:
Об этой уязвимости, впервые сообщенной технологическим изданием Heise Online, можно украсть все пароли в цепочке ключей «логин» и «Система» вашего Mac, что оставляет вас широко открытыми для атак, даже если у вас есть такие меры безопасности, как списки контроля доступа и защита целостности системы. с использованием новейшего чипа безопасности Apple T2.
Эксплойт KeySteal был обнаружен и объявлен исследователем безопасности Линусом Хенце, самопровозглашенным поклонником macOS и iOS, который в прошлом обнаруживал другие уязвимости. Он также является членом Sauercloud, немецкой группы компьютерной безопасности, которая участвует во взломе соревнований Capture The Flag. Другими словами: его подвиг, скорее всего, не вымышленный, но вполне реальный.
Единственный способ защитить связку ключей вашего компьютера - заблокировать связку ключей входа в систему с помощью дополнительного пароля, в результате чего macOS будет запрашивать этот пароль каждый раз, когда вы пытаетесь что-либо сделать с компьютером.
К счастью, связка ключей iCloud не затронута. Пока нет новостей о том, что Apple признает наличие этой проблемы, но мы связались с ними и обновляем эту статью тем, что они говорят.
Это вторая серьезная брешь в безопасности связки ключей macOS, которая уже подверглась еще одной серьезной уязвимости еще в сентябре 2022-2023–2022 годов. Это открытие было закрыто Apple, но это еще не сделано - и, возможно, оно не будет исправлено довольно долго.
Причина: Хенце протестует против отсутствия вознаграждения Apple за безопасность для macOS. Apple предлагает вознаграждения людям, обнаружившим уязвимости для взлома в iOS, но не предлагает ту же программу для компьютеров с macOS. Хенце считает, что это глупо и несправедливо - не говоря уже о том, что Apple не проявляет серьезной приверженности безопасности своих компьютерных ОС - и поэтому решил не раскрывать процедуру устранения ошибок, призывая других сделать то же самое.
Создание программ вознаграждения за дыры в безопасности - обычная практика в компьютерной индустрии, потому что она способствует повышению безопасности, давая многим умным людям повод тратить свое время на поиск проблем. Даже у Tesla Илона Маска есть такая программа для повышения безопасности его подключенных к Интернету электромобилей.
Этот пост изначально был опубликован в Руководстве Тома.
- Ошибка шпионажа Apple FaceTime: что нужно знать
- Лучший менеджер паролей - Lastpass vs. Dashlane vs. 1Password
- Стоит ли использовать менеджер паролей?