Немец обнаружил уязвимость в macOS, которая позволяет воровать пароли. Но отказался бесплатно сотрудничать с Apple Материал редакции

Компания выплачивает вознаграждения только за поиск багов в iOS.

В закладки
Аудио

3 февраля 18-летний исследователь безопасности Лайнус Хенце (Linus Henze) из Германии нашел уязвимость, которая позволяет получить доступ ко всем паролям, сохраненным в «Cвязке ключей» в macOS. С помощью собственной программы KeySteal в ролике он демонстрирует, как без прав администратора можно украсть конфиденциальную информацию.

Несмотря на то, что баг работает только на компьютерах Mac, пароли, синхронизируемые с iPhone и другими устройствами Apple, также могут оказаться под угрозой при использовании iCloud.

В интервью с Forbes исследователь предположил, что подобная программа может попасть в macOS через обычное приложение или веб-страницу с вредоносным кодом. А поскольку хакер может получить доступ к iCloud, то Apple ID тоже окажется в опасности, считает Хенце.

Тем не менее он отказался помогать Apple, потому что компания платит вознаграждения только тем исследователям, которые находят ошибки в iOS, но не в macOS.

На момент публикации Apple не дала комментариев.

Кажется, что им плевать на macOS. На поиск уязвимостей уходит много времени. Думаю, что исследователям стоит платить, поскольку мы помогаем Apple делать их продукты более безопасными.

Лайнус Хенце
исследователь безопасности

Специально для Forbes баг протестировал Патрик Уордл (Patrick Wardle), который в 2017 году обнаружил похожий баг. Бывший аналитик Агентства национальной безопасности США был поражен находкой молодого Хенце.

Немного обескураживает, что Apple не может понять, как обеспечить безопасность «Связки ключей». Какой смысл создавать приложение для хранения самой конфиденциальной информации в системе, если этот механизм уязвим?

Патрик Уордл
специалист безопасности, основатель Digita Security
{ "author_name": "Дарья Лейзаренко", "author_type": "editor", "tags": ["\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0430\u0433\u0438","macos","apple"], "comments": 53, "likes": 75, "favorites": 7, "is_advertisement": false, "subsite_label": "tech", "id": 87448, "is_wide": false, "is_ugc": false, "date": "Thu, 07 Feb 2019 10:56:55 +0300", "is_special": false }
Объявление на TJ
Спорт
Главные спортивные новости — ежедневные изменения в мире спорта, актуальная новостная повестка, интересные статьи. Из…
Подписаться
Подписан
Отписаться
0
{ "id": 87448, "author_id": 217590, "diff_limit": 1000, "urls": {"diff":"\/comments\/87448\/get","add":"\/comments\/87448\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/87448"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
53 комментария
Популярные
По порядку
Написать комментарий...
18

Мир рухнул, Apple снова облажалась. Очередной 18-летний сверхразум нашел ужасающую уязвимость в операционной системе macOS Mojave и украл все пароли. Акции упали до исторического минимума и стоят теперь дешевле грязи, Тим Кук вырывает оставшиеся волосы, а датацентры компании в Купертино перешли на резервные источники питания — вращающегося в гробу Джобса.

В общем, я написал тут небольшой лонг-рид о том, почему это — фейк.

https://goo.gl/5diFZ2

Ответить
9

Комментарий удален по просьбе пользователя

Ответить
–9

Дальше первого пункта можно не читать

За такое можно и нахуй послать, в общем-то. Учитывая что в самой заметке я указал на очевидные расхождения данных.

Но прийти в комменты на ТЖ и покукарекать — это, конечно, святое.

Ответить
9

Еще и высер на 10 абзацев лонгридом назвал, телеграмщик обоссанный

Ответить
5

Но ведь ты и пришел покукарекать

Ответить
0

Чо ты раздизлайкался? Неужели непонятно, что тебе тут не рады? Эксперд блять.

Ответить
–3

Вот нахуй и иди, ты вообще кто такой, чтоб на нейротоксина пиздеть, пёс?

Ответить
0

Никита Дровняшин
Хуита Говняшин

Ответить
0

тут ты в точку на самом деле

Ответить
1

норм

Ответить
13

Комментарий удален по просьбе пользователя

Ответить
0

Так, 18й год был под знаком эпик фейлов Фейсбука, теперь видимо в 19м пришёл черёд Эпл

Ответить
32

Ты чет пропустил походу, у Apple каждый год факапы с безопасностью macOS.

Ответить
1

С iOS тоже регулярно беды происходят, почему-то даже заметнее и крупнее, чем у андроидов

Ответить
0

С десктопными ОС всегда так. Слишком открытая экосистема. Слишком много внутренних API.

Ответить
9

Апплу не жаль денег на топ менеджеров, которые занимаются чепухой, но покупать за копейки реально жизненно необходимую для их компании информацию - ну куда уж там.

Ответить
–7

Комментарий удален по просьбе пользователя

Ответить
7

На видео видно лишь как в сторонней программе вывелись какие-то пароли; пруфов, что они не добавлены заранее нет т.к процесс добавления/обновления пароля в хранилке и повторное запуск сплойта в видео отсутствует :(

Ответить
2

Да начать хотя бы с того, что чел уже залогинился в профиле.

Ответить
3

В правильную позицию стал. Нефиг, а то ещё засудить как всегда попытаются, уроды

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Я думаю, у эппла бесплатных мамкиных пентестеров в разы больше получается. Купят 1password - и в нём найдут дырки.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

А зачем, когда их нет.

Ответить
2

Пруфов на обсуждаемую "дыру" тоже нет, кстати.

Ответить
–1

Комментарий удален по просьбе пользователя

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

При этом не спорю, что эппл легко могли обосраться, выглядит правдоподобно, учитывая, какую херню они творят.

Ответить
–1

Да легко - привлечь внимание к хуевой программе Bug Bounty, заставить Эппл таки ее объявить, а потом признаться, что нихуя не было, но зато теперь если будет, то эппл заплатят.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Офк не частое, иначе бы про это не было новостей. Представь похожую новость про Windows

Ответить
4

про windows это просто лента CVE.

Ответить
0

Про айклауд бред же. Даже зная пароль, девайс надо будет авторизовывать ещё для доступа

Ответить
0

можно выбрать опцию ввода пароля от компьютера на телефоне

Ответить
2

Это где выбрать? Он просто просит пин код и никаких вариантов

Ответить
0

Ну, кстати, там для этого тоже есть какая-то дырка/фичи.
Ну, ладно, назовём её: фича.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Если что, у чувака имя Линус, а не Лайнус, не английский язык же.
*зануда мод офф*

Ответить
0

Если есть доступ к устройству, то и доступ к паролям тоже будет. Это не сильно угрожающая уязвимость

Ответить
0

Чтобы видео было показательным, нужно было добавить новый логин-пароль в связку и только потом ее крякнуть. А так - недоказательно совершенно, можно было этот список логин-паролей заранее вбить в пустышку-приложение и потом показать всем "hacking Apple...wait a sec...done"
Ну раз никто таким вопросом не задается, всем и так норм, главное эпл похейтить

Ответить
0

Прекрасное сокращение новости получилось:

Ответить
0

Используйте keepass

Ответить
0

Ну он свои деньги получит. Если не от Эппл, так от тех кто заинтересован в аккаунтах Эппл.

Ответить
Обсуждаемое
Новости
Фото: Торжественное открытие школьного сквера с поролоновыми русалками и тканевым прудом в Сахалинской области
Это обошлось бюджету региона в 500 тысяч рублей.
Наука
В открытый космос впервые в истории вышли только женщины
Миссию переносили из-за отсутствия скафандра нужного размера.
Новости
«Суки, сколько „за“, сколько „против“ и сколько воздержались?»: глава Мосгордумы на заседании поторопил подсчёт голосов
В итоге проект бюджета Москвы на три года рекомендовали для рассмотрения.
Популярное за три дня
Новости
«Суки, сколько „за“, сколько „против“ и сколько воздержались?»: глава Мосгордумы на заседании поторопил подсчёт голосов
В итоге проект бюджета Москвы на три года рекомендовали для рассмотрения.
Истории
«Мы вкладываем душу в детей»: монолог воспитателя детского сада в небольшом российском городе
В чем отличия современных детей от миллениалов, насколько низкой может быть зарплата и почему героиня ещё не уволилась.
Новости
Фигуранты дела «Нового величия» порезали себе вены в зале суда
О состоянии пострадавших пока ничего не известно.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]