High Sierra 安全隐患: 应用程序可以访问钥匙串并收集密码

Patrick Wardle, Synack ’ s head of research, posted a video on Monday that shows how code he wrote can be used to get passwords from macOS ’ s Keychain. Keychain is the password manger built into macOS, and it usually requires a master password to access it. But Wardle ’ s code was able to access Keychain and collect passwords.

source

0xcb

2017-09-26 08:43:07 +08:00

之前版本都可以的啊，只要你授权管理员帐户，dump keychain 简单的很

bkmi

2017-09-26 11:04:02 +08:00

按理说这应该是个大新闻，但是竟然没人关注的，神奇神奇

Chingim

2017-09-26 11:11:41 +08:00

@bkmi macOS 的关注度是没有 iOS 的高, 大家普遍更加关注升 iOS 11 卡不卡, 耗电有没有增加.

Mirage09

2017-09-26 11:59:34 +08:00

看到了，原作者说给 Apple 发邮件了但是没有回应，我也好奇这明明就是个大新闻为什么没人发...

wuhao930301

2017-09-26 11:59:57 +08:00

手动关注。为什么 Beta 版的时候没曝出来，是正式版才有的 bug 么

Chingim

2017-09-26 12:04:59 +08:00

@wuhao930301 小人之心地不负责任地推断, 这漏洞估计早就发现了, 就等苹果发布正式版吧

onevcat

2017-09-26 12:05:44 +08:00

https://twitter.com/patrickwardle/status/912254053849079808

这个吧？看起来是一直就有的吧，作者也说“ other versions of macOS are vulnerable too ”

只有 unsign app 能干这事儿，没签名或者签名不对的 app 别用就是了..

warking

2017-09-26 17:11:24 +08:00

Correction: The exploit affects other macOS versions too, including the latest High Sierra, but is not specific to the latter only. Apple has actually fixed a number of critical security flaws with macOS 10.13 making it an important update.

http://wccftech.com/macos-high-sierra-hackers-steal-passwords/

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/393605

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.