一個德國青少年構建了一個可以竊取Mac計算機密碼的應用程序

7月至9月期間，蘋果售出了不到4700萬部iPhone和約1000萬部iPad。相比之下，蘋果在同一時間內銷售了約530萬台Mac電腦。顯然，世界上最受歡迎的以水果為主題的電子公司從iOS設備賺取的錢遠遠超過電腦和筆記本電腦。這是否意味著macOS用戶在安全性方面被排除在外？一位名叫Linus Henze的德國青少年似乎認為這正是正在發生的事情。但我們為什麼要聽他的話？

因為他發現了影響Apple桌面操作系統所有現代版本的嚴重漏洞。他稱之為KeySteal，通過它，他可以從Keychain中抓取所有敏感數據 - 許多人用來存儲用戶名和密碼的內置系統。

惡意應用程序可以竊取您的所有密碼

週日，自稱為macOS和iOS的粉絲發布了一個視頻 ，說明了這個問題。攻擊確實依賴於用戶在Apple機器上運行一些惡意代碼，但Henze認為至少有兩個感染媒介可以使密碼竊取成為可能。

其中之一涉及所謂的供應鏈攻擊，其中黑客破壞了合法軟件供應商的基礎設施，並將惡意軟件嵌入到新版本或良性應用程序的更新中。第二種可能性是欺騙用戶訪問可以在受害者機器上執行惡意代碼的網頁。

Henze的視頻顯示KeySteal不需要任何額外的權限即可工作。惡意軟件不會觸發任何密碼提示，無論您是否選擇在所有iDevices上同步數據，它都能正常運行。

途中沒有補丁

這是白帽黑客發現的嚴重漏洞。通常情況下，在這種情況下，黑客會聯繫供應商，私下披露所有細節，供應商會發布補丁以堵塞漏洞，然後才能利用它。只有這樣，一般公眾才能了解整件事。這一次，事情不會像這樣。

雖然視頻顯示了行動中的漏洞利用，但概念驗證代碼並不公開。少數人見過的人之一是帕特里克·沃德爾 （ Patrick Wardle） ，他是前NSA分析師和現任安全專業人士，有著通過鑰匙扣的安全漏洞的歷史。他證實這個漏洞是真實的，而且非常嚴重。

Apple的安全團隊要求Linus Henze進行攻擊，但他拒絕與他們分享細節。他說，其原因在於缺少針對macOS的bug賞金計劃。

這個古老的蟲子賞金問題

有些人可能會突然冒犯並指責Henze因為阻止Apple發現更多關於這個問題並修復它而使用戶面臨風險。有些人甚至可能會因為貪婪而只是因為名利而且可能是金錢而責備他。

然而，事實上，像Linus Henze這樣的人做了高技能和非常重要的工作，影響到每個人 - 從矽谷巨頭的CEO到有效支付薪水的最終用戶. 讓這項工作沒有得到回報，或者要求研究人員將它換成品牌棒球帽和T卹是完全不合邏輯的。

說到邏輯，我們還沒有聽到一個合理的解釋，為什麼iOS被bug賞金計劃所覆蓋（ 並不總是能夠正常運行 ），而macOS則不然。我們將由您自行決定是否與我們在第一段中引用的數字有關。

你還必須記住另一件事。現在預計補丁不會意味著其他人可能會開始尋找漏洞。那些發現它的人可能會有比Linus Henze更加邪惡的意圖。

你能做些什麼來保護自己？

該漏洞利用取決於解鎖的macOS Keychain。在大多數情況下，這會在您登錄時自動發生，但您可以對其進行設置，以使您的帳戶和Keychain密碼不同。這意味著每次您需要使用Keychain中的數據時，您都需要手動解鎖。但是，這也可能意味著您需要經常輸入您的鑰匙串密碼。

您的另一個選擇是完全取消Keychain並使用專用的密碼管理應用程序，如Cyclonis Password Manager。它還以加密格式存儲您的密碼，並允許您在多個設備上同步它們。要了解有關Cyclonis Password Manager如何工作的更多信息，請單擊此處 。