High Sierra 安全隐患: 应用程序可以访问钥匙串并收集密码

2017-09-26 08:16:33 +08:00
 Chingim

Patrick Wardle, Synack ’ s head of research, posted a video on Monday that shows how code he wrote can be used to get passwords from macOS ’ s Keychain. Keychain is the password manger built into macOS, and it usually requires a master password to access it. But Wardle ’ s code was able to access Keychain and collect passwords.

source

3875 次点击
所在节点    Apple
13 条回复
0xcb
2017-09-26 08:43:07 +08:00
之前版本都可以的啊,只要你授权管理员帐户,dump keychain 简单的很
Chingim
2017-09-26 09:02:48 +08:00
@0xcb 不用授权
bkmi
2017-09-26 11:04:02 +08:00
按理说这应该是个大新闻,但是竟然没人关注的,神奇神奇
Chingim
2017-09-26 11:11:41 +08:00
@bkmi macOS 的关注度是没有 iOS 的高, 大家普遍更加关注升 iOS 11 卡不卡, 耗电有没有增加.
bkmi
2017-09-26 11:19:07 +08:00
@Chingim 首页还一堆讨论升级的呢
tairan2006
2017-09-26 11:19:50 +08:00
…这个很严重啊,还升什么级。。
usedname
2017-09-26 11:34:44 +08:00
这个 bug 没人关注?
BearD01001
2017-09-26 11:55:47 +08:00
持续关注...
Mirage09
2017-09-26 11:59:34 +08:00
看到了,原作者说给 Apple 发邮件了但是没有回应,我也好奇这明明就是个大新闻为什么没人发...
wuhao930301
2017-09-26 11:59:57 +08:00
手动关注。为什么 Beta 版的时候没曝出来,是正式版才有的 bug 么
Chingim
2017-09-26 12:04:59 +08:00
@wuhao930301 小人之心地不负责任地推断, 这漏洞估计早就发现了, 就等苹果发布正式版吧
onevcat
2017-09-26 12:05:44 +08:00
https://twitter.com/patrickwardle/status/912254053849079808

这个吧?看起来是一直就有的吧,作者也说“ other versions of macOS are vulnerable too ”

只有 unsign app 能干这事儿,没签名或者签名不对的 app 别用就是了..
warking
2017-09-26 17:11:24 +08:00
Correction: The exploit affects other macOS versions too, including the latest High Sierra, but is not specific to the latter only. Apple has actually fixed a number of critical security flaws with macOS 10.13 making it an important update.

http://wccftech.com/macos-high-sierra-hackers-steal-passwords/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/393605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX