Независимый ИБ-исследователь из Германии Линус Хенце (Linus Henze) сообщил о новом способе атаки на Связку ключей macOS. Проблема распространяется на все версии ОС, включая актуальную на момент публикации — 10.14.3 Mojave.
Эксперт отказывается делиться с Apple информацией о баге в знак протеста: компания не вознаграждает «белых» хакеров, обнаруживших уязвимости в macOS, в отличие от их коллег, нашедших бреши в iOS.
По словам исследователя, обнаруженная проблема распространяется не только на штатное приложение, но и на связки ключей, созданные пользователями. Эксплойт KeySteal не требует привилегий администратора и работает при включенной системе защиты System Integrity Protection. Хенце считает, что для доставки зловреда можно скрыть его внутри другого приложения или направить жертву на веб-страницу, запускающую мошеннический код.
В качестве доказательства бага исследователь опубликовал видео на YouTube.
Работоспособность эксплойта уже подтвердил бывший аналитик АНБ Патрик Уордл (Patrick Wardle), выразив недовольство халатностью разработчиков Связки ключей.
«Тот факт, что Apple не могут защитить связки ключей, обескураживает. Какой смысл создавать инструмент для хранения самой чувствительной информации в системе, если сам механизм постоянно оказывается ненадежен?» — негодует исследователь.
Представители Apple отказались прокомментировать ситуацию в ответ на запрос Forbes. Поскольку Хенце не предоставил компании техническую информацию об уязвимости, сроки выхода исправления пока неизвестны.
Уордл, обнаруживший схожую ошибку в сентябре 2017 года, рассказал пользователям macOS о том, как предотвратить кражу учетных данных. По его мнению, лучшая защита на данный момент — вручную задать пароль для Связки ключей.