TA STRONA UŻYWA COOKIE. Usługodawca oraz jego zaufani partnerzy korzystają z plików cookies i innych technologii automatycznego przechowywania danych do celów statystycznych, reklamowych oraz realizacji usług, w tym również aby wyświetlać użytkownikom najbardziej dopasowane oferty i reklamy.
Usługodawca i jego zaufani partnerzy wymagają zgody użytkownika na gromadzenie danych w celu obsługi spersonalizowanych treści i ogłoszeń. Jeśli korzystasz ze strony instalki.pl bez zmiany ustawień przeglądarki, to oznacza to, że nie wyrażasz sprzeciwu co do otrzymywania wszystkich plików cookies na swoje urządzenie ze strony instalki.pl.
Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z regulaminem oraz polityką prywatności serwisu  [X]
Instalki.pl » Aktualności » Bezpieczeństwo » Nowa luka zero-day w macOS pozwala złodziejom wykraść hasła użytkowników, ale Apple nie może tego naprawić
Czwartek, 07 Luty 2019 12:04, Wpisany przez BS
mac
Wszystko przez brak programu bug bounty dla macOS.

Kilka dni temu na kanale YouTube użytkownika Linus Henze - osiemnastolatka z niemiec - pojawił się film, na którym chłopak przy pomocy exploita nazwanego KeySteal zdobywa wszystkie hasła zapisane w systemowym menadżerze haseł Keychain. Złośliwa aplikacja działa zarówno na najnowszej wersji macOS Mojave, jak i starszych dystrybucjach systemu.

Wadą tego rozwiązania jest to, że wymaga uruchomienia złośliwej aplikacji na komputerze, więc najprędzej może ono posłużyć do ekstrakcji haseł z urządzenia, do którego mamy dostęp. Jednak nie wymaga to uprawnień administratora, ani podawania żadnych haseł (no chyba, że do włączenia Maka). 

Henze nie opublikował jednak dowodów na obecność luki i nie podaje żadnych informacji, dzięki którym Apple mogłoby ją załatać. Jednak istnienie exploita, a także jego działanie potwierdził oficjalnie jeden z bardziej znanych badaczy zabezpieczeń firmy z Cupertino.



Dlaczego nastolatek opublikował w sieci film pokazujący istnienie exploita, ale nie chce pomóc Apple? Z prostego powodu. Wiele produktów Apple oferuje wynagrodzenie pieniężne w zamian za zgłoszenie firmie luki w zabezpieczeniach. Jednak nie dotyczy to m.in systemu macOS właśnie. Henze chce z tym walczyć. 

"Nawet jeśli wygląda, jakbym robił to dla pieniędzy, to nie jest moja główna motywacja. Chcę, aby Apple stworzyło program bug bounty. Uważam, że to będzie najlepsze wyjście zarówno dla Apple, jak i badaczy" - powiedział nastolatek - "Naprawdę kocham produkty Apple i chciałbym pomóc czynić je bardziej bezpiecznymi. A najlepszą drogą w tym kierunku jest moim zdaniem utworzenie przez Apple programu bug bounty".

Gigant z Cupertino nie komentuje sytuacji.

Źródło: ZDNet