Амайя Томан Линуз Хенце, исследователь безопасности, поделился своими Твиттер видео, демонстрирующее брешь в безопасности операционной системы macOS. Упомянутая ошибка позволяет получить доступ к паролям, хранящимся в Связке ключей, в частности к элементам категорий. Логин и система.
Хенце также прокомментировал программу вознаграждений за обнаружение ошибок, которую проводит Apple. По его собственным словам, он разочарован тем, что программа специализируется исключительно на операционной системе iOS и не ориентирована на macOS. В знак протеста против того, как Apple обрабатывает ошибки в своих системах и сообщает о них, Хенце решил официально не информировать компанию о своих выводах.
Хенце в прошлом уже успел обнаружить не одну ошибку в операционной системе iOS, поэтому его слова можно считать достоверными и правдивыми. Для проведения атаки не требуется получение административных привилегий, а доступ к паролям в Keychain на Mac можно получить даже на компьютерах с активированной защитой целостности системы. Однако эта ошибка не влияет на связку ключей iCloud, поскольку она хранит пароли другим способом. Теоретически можно защититься от ошибки, защитив саму связку ключей еще одним паролем, но это не тот вариант, который был бы доступен по умолчанию, весь процесс довольно сложен и как следствие приводит к многочисленным диалогам проверки во время работы над Мак.
Источник: 9to5Mac
Apple в заднице. Да здравствуют новые смайлы. Однажды 14-летний мальчик обнаруживает грубую ошибку в FaceTime. Теперь прямо к Брелоку. Это выглядит почти так, как будто он генерирует пароли, наблюдает за тем, как хэш-программа их кодирует, хеширует и получает результат.
А что насчет безопасности, тем более что у нас на сайте Apple в нужный день есть политкорректный смайлик и напечатанный радужный флаг. Это сейчас приоритет!