O pesquisador de segurança alemão Linus Henze descobriu esta semana uma nova vulnerabilidade do macOS de dia zero chamada 'KeySteal', que, conforme demonstrado no vídeo abaixo, pode ser usado para obter todos os dados confidenciais armazenados no aplicativo Keychain.
Henze parece usar um aplicativo malicioso para extrair dados do aplicativo Keychain do Mac sem a necessidade de acesso de administrador ou uma senha de administrador. Ele pode obter senhas e outras informações do Keychain, bem como senhas e detalhes de outros usuários do macOS.
como pagar alguém com apple pay
Henze não compartilhou os detalhes desse exploit com a Apple e diz que não vai lançá-lo porque a Apple não tem um programa de recompensa de bugs disponível para o macOS. “Então, culpe-os”, escreve Henze na descrição do vídeo. Em uma declaração para Forbes , Henze esclareceu sua posição e disse que descobrir vulnerabilidades leva tempo.
'Encontrar vulnerabilidades como esta leva tempo, e eu só acho que pagar pesquisadores é a coisa certa a fazer porque estamos ajudando a Apple a tornar seu produto mais seguro.'
A Apple tem um programa de recompensa para iOS que fornece dinheiro para quem descobrir bugs, mas não existe um sistema de pagamento semelhante para bugs do macOS.
De acordo com o site alemão Heise Online , que falou com Henze, o exploit permite o acesso aos itens das chaves do Mac, mas não às informações armazenadas no iCloud. As chaves também precisam ser desbloqueadas, algo que acontece por padrão quando um usuário faz login em sua conta em um Mac.
As Chaves podem ser bloqueadas abrindo o aplicativo das Chaves, mas uma senha de administrador precisa ser inserida sempre que um aplicativo precisar acessar as Chaves, o que pode ser inconveniente.
A equipe de segurança da Apple entrou em contato com Henze, de acordo com ZDNet , mas ele continuou a se recusar a fornecer detalhes adicionais, a menos que eles forneçam um programa de recompensa de bug para o macOS. 'Mesmo que pareça que estou fazendo isso apenas por dinheiro, essa não é minha motivação neste caso', disse Henze. 'Minha motivação é fazer a Apple criar um programa de recompensa por insetos. Acho que isso é o melhor para a Apple e para os pesquisadores. '
Esta não é a primeira vulnerabilidade relacionada ao Keychain descoberta no macOS. O pesquisador de segurança Patrick Wardle demonstrou uma vulnerabilidade semelhante em 2017, que foi corrigida.
Publicações Populares