18-летний подросток Линус Хенц нашёл уязвимость в macOS, благодаря которой можно получить доступ к учётным записям без прав администратора или суперпользователя.
В iOS и macOS есть функция Связка ключей, в которой хранятся сохранённые данные от различных сервисов и сайтов. Для их просмотра нужно ввести пароль от аккаунта.
Хенц узнал, как обойти это ограничение. Но в качестве протеста он не собирается делиться подробностями с Apple, так как программа вознаграждений распространяется только на iOS, но не macOS.
Зато показал, как написанная им программа для взлома Связки ключей работает:
Функционирует его приложение только с локально-сохранёнными данными. Хранящуюся в iCloud информацию оно не затрагивает.
Ждём реакцию Apple. [Engadget]
(18 голосов, общий рейтинг: 3.22 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
13 комментариев
Форум →Из памяти процесса тащит очевидно. Не зря же он держит связку ключей открытой при запуске своей софтины. Полной защиты от таких атак нет ни в одной системе
@picatchy, угу осталось ответить на вопрос – с хера ли они в памяти в открытом виде, если он первый раз пароль не вводил. А так да, конечно, не такой защиты, особенно если пароли (супрыз!) в открытом виде, а ввод пароля – чистая бутафория.
@stepkin2, что же вы хомячку всю отмазу обрушили. )
@picatchy, значит, вредоносное приложение может просто запустить Keychain Access.app и получить все пароли? Отличная защита.
По видео в эппл должны поверить ему? Долго написать програмулинку, в которой бежит полоска с якобы процессом взлома, и потом показывает заранее прописанные пароли?
@mlserg, а что тут удивительного? Elcomsoft это давно делает, правда не бесплатно.
@mlserg, так эпл может сделать простую и очевидную вещь: обещать выкупить информацию, если программулина сработает на чистом тестовом маке. Если уязвимости нет, то на этом гражданин и сольётся.
> 18-летний подросток
Эээээ… ЧИИИВООО БЛ…?! ©
Неслабо у них там детство затягивается, как я вижу.
@dimasokol, у них подросток – это teenager, где есть частица teen которая как раз кончается на nine-teen (19). Так что ему подростком мотать еще как минимум год
1) 99% фейк
2) для того чтобы скачать пароли
* у вас должен быть доступ к машине
* вы должны залогиниться под пользователем (и скорее всего пароли других пользователей не извлекутся)
* если вы не под администратором возможно эксплоит не работает
* можно попробовать загрузиться с внешнего носителя, но кто мешает включить шифрование диска
3) у “хакера” ноут 2014 года. И в зависимости от типа уязвимости возможно на новых машинах это не сработает
Есть еще проще вариант – отобразить окно запроса пароля администратора при первом запуске приложения. Потом использовать пароль для доступа к любым данным. Всегда поражала слабая защита от ложных запросов пароля приложениями.
Администрация, а почему мой пост скрыт? Стыдно стало?
1) Пишется апп, в которой забивается актуальный пароль от фейсбука.
2) Апп производит магические пассы.
3) Затем в нем показывается этот самый пароль.
4) И он мистически совпадает с паролем из системы.
5) Все верят в уличную магию.
6) PROFIT!!1111
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как проверить право на гарантийное обслуживание техники Apple?
Как включить встроенный переводчик в Safari на iOS 14
Как перезагрузить iPhone 7 и iPhone 7 Plus?
Хрустит и скрипит экран iPhone 6 (6s, 7)
Почему Siri не зачитывает входящие сообщения iMessage в наушниках
Как пользоваться приложениями бесплатно, если требуется оформить подписку
Что делать, если iPhone Xs плохо ловит сеть
Как включить смайлы (эмодзи) в предиктивном наборе на iOS 10?