В macOS найден «чудесный баг», о котором Apple не узнает из-за своей скупости. Видео
Исследователь безопасности из Германии обнаружил в macOS серьезную уязвимость, которая позволяет получить доступ к учетным данным пользователя, хранящимся в KeyChain. Однако он решил не делиться с Apple информацией о проблеме, поскольку компания не платит вознаграждения за баги, найденные в macOS.
Находка Хенце
Восемнадцатилетний исследователь безопасности из Германии Линус Хенце (Linus Henze) нашел в macOS уязвимость, которая дает возможность хакеру получить учетные данные пользователей. Данные извлекаются из так называемой «связки ключей» (KeyChain) — программы macOS, где хранятся логины и пароли, в том числе от банковских сайтов, мессенджеров и т. д.
Уязвимость получила название KeySteal. Она распространяется на все версии macOS до 10.14.3 Mojave включительно. Хенце выложил видео, где показан пример эксплуатации бага. Исследователь отметил, что проблема затрагивает не только стандартный KeyChain, но и те связки ключей, которые созданы пользователями. Если человек использует iCloud KeyChain, в опасности могут оказаться пароли, синхронизированные на iPhone и Mac.
Хенце сумел создать приложение, которому удалось с помощью KeySteal прочитать содержимое KeyChain, не запрашивая разрешения пользователя. Специальных привилегий вроде доступа уровня администратора также не понадобилось. Доставить это приложение на компьютер жертвы можно внутри другого приложения или с помощью ссылки на веб-страницу с загрузкой, полагает Хенце.
Отказ от сотрудничества с Apple
Детального описания уязвимости Хенце не привел. Связываться с Apple и сообщать ей подробности проблемы исследователь не собирается. В беседе с изданием Forbes он объяснил, почему: компания не выплачивает баунти за обнаружение уязвимостей в macOS, выплаты полагаются только в случае iOS. На счету исследователя уже есть ряд уязвимостей, открытых им в последнее время в iOS и macOS.
«Выглядит так, как будто они не заботятся на самом деле о macOS. Обнаружение уязвимостей типа этой требует времени, и я думаю, что платить исследователям было бы правильно, потому что мы помогаем Apple делать ее продукты более безопасными», — приводит слова Хенце Forbes. В настоящее время найденная им уязвимость не закрыта.
Напомним, всего несколько дней назад другой юный исследователь, четырнадцатилетний Грант Томпсон (Grant Thompson), обнаружил серьезную уязвимость в iOS, которая позволяет шпионить за пользователем через FaceTime. Apple пообещала закрыть дыру и, предположительно, выплатила подростку гонорар по условиям своей баунти-программы для iOS. По этой программе максимальное вознаграждение составляет $200 тыс.
Пример эксплуатации бага в macOS
Forbes попросил специалиста по безопасности Apple Mac Патрика Уордла (Patrick Wardle) ознакомиться с уязвимостью, найденной Хенце. Уордл, бывший аналитик Агентства национальной безопасности (АНБ), был впечатлен находкой юного исследователя. «Большой респект Линусу, это чудесный баг», — так прокомментировал он открытие, добавив, что пока Apple будет разбираться с ситуацией, лично он закрывает свой Mac и пойдет лучше займется серфингом. Сам Уордл открыл похожую уязвимость в macOS в 2017 г.
Меры безопасности
Так как технических деталей об уязвимости Хенце не сообщил, и самостоятельно Apple ее пока тоже не закрыла, пользователям придется позаботиться о своей безопасности самим. Уордл отмечает, что лучшее средство защиты в данном случае — вручную установить пароль для KeyChain.
Но это означает, что каждый раз, когда какое-либо приложение захочет на законных основаниях использовать пароль из связки ключей, пользователю придется вводить учетные данные.