ingoweb

Обновление настольной операционной системы вышло вчера, но уже сегодня появились первые тревожные новости.

Оказывается, сторонние приложения могут получить доступ к паролям из Связки ключей. Уязвимость обнаружил бывший хакер Агенства национальной безопасности США, Патрик Уордл. Он создал программку под названием keychainStealer, которая без труда вытащила логины и пароли, хранящиеся в Связке ключей.

Для тех, кто ничего не понял: так можно взломать странички соцсетей или платёжных сервисов. Конечно, если там не включена двухфакторная аутентификация.

Я обнаружил брешь, через которую стороннее приложение может получить доступ к данным из Связки ключей без пароля администратора. — сказал Патрик Уордл

В своём видеоподтверждении, хакер вытащил пароли за несколько кликов. Всё же, Уордл отметил, что эксплоит основывается не только на уязвимости SKOS, но и на предположении о том, что пароль входа в систему совпадает с паролем от Связки ключей.

Эксперт утверждает, что передал Apple все алгоритмы обхода безопасности ещё в начале сентября. Что не помешало Купертиновцам выпустить финальную версию macOS с всё той же брешью.

С другой стороны, в ролике видно, как перед запуском keychainStealer система предупредила о том, что это приложение из непроверенного источника. И за всё, что происходит после нажатия кнопки «Done» ответственен именно пользователь.

P.S. по словам хакера, эта уязвимость вполне может коснуться даже El Capitan. Правда, она была протестирована только на различных версиях macOS High Sierra.