macOS作業系統的「鑰匙圈」(Keychain)功能可用來儲存各項服務的密碼,一名年僅18歲、自稱是蘋果macOS及iOS粉絲的德國業餘安全研究人員Linus Henze,打造了一個名為Keysteal的攻擊程式,並透過YouTube影片展示如何以Keysteal擷取Keychain所存放的所有密碼。

一名年僅18歲、自稱是蘋果macOS及iOS粉絲的德國業餘安全研究人員Linus Henze揭露了macOS上的Keychain漏洞,可揭露Keychain上所存放的所有密碼,Henze並說因蘋果並未提供macOS的抓漏獎勵,因此他並不想與蘋果分享漏洞細節。

macOS作業系統的「鑰匙圈」(Keychain)功能可用來儲存各項服務的密碼,Henze打造了一個名為Keysteal的攻擊程式,並透過YouTube影片展示如何以Keysteal擷取Keychain所存放的所有密碼。

2017年9月曾有另一名研究人員Patrick Wardle公布macOS High Sierra的Keychain漏洞,同樣是允許駭客透過攻擊程式以明文展現Keychain中的密碼。

Henze說,雖然蘋果修補了Wardle所發現的漏洞,但他卻找到另一個Keychain漏洞,影響最新的macOS Mojave平台及更舊的macOS版本。

有鑑於蘋果僅提供了針對iOS的漏洞抓漏獎勵,並未擴及macOS,使得Henze決定不與蘋果分享漏洞細節,並希望蘋果有一天會想通。

根據Bleeping Computer的報導,蘋果的安全團隊的確曾與Henze接洽,詢問Henze能否分享漏洞細節,但他的回應是除非蘋果作出某些改變,目前尚未得到蘋果的回覆。Henze亦強調他並不是為了金錢,而是認為漏洞獎勵專案才能同時造福蘋果與研究人員,進而嘉惠蘋果產品的安全性。


Advertisement

更多 iThome相關內容