لینوس هنزه (Linuz Henze) محقق امنیتی آلمانی با انتشار یک ویدیو به تازگی روش استخراج رمز عبور از Kay chain را به نمایش گذاشت. او به نشانه ی اعتراض به اپل قصد ندارد جزیات اطلاعات خود را با اپل به اشتراک بگذارد.
Kay chain چیست؟
Kay chain یک نرم افزاربرای مدیریت رمز عبور در سیستم عامل است که با استفاده از آن میتوان رمز عبور اپلیکیشنها و حسابهای کاربری خود در وبسایتها را ذخیره کرد.
با توجه به این که او پیش از این هم باگ های زیادی از IOS یافته بود، ادعایش قابل استناد است. هنزه به دلیل اینکه اپل فقط برای باگ های IOS به افراد جایزه میدهد و مبلغی بابت یافتن مشکلات در MAC در نظر نگرفته است به نشانه ی اعتراض از دادن جزیات این موضوع به اپل خود داری میکند.
برای حمله به نسخه ی دموی اپلیکیشن Kay steal حتی نیازی به دسترسی ادمین نیست. حتی مهم نیست که لیست Access Control تنظیم شده باشد یا نه.با وجود فعال بودن System Integrity Protection که وظیفه ی مراقبت از سیستم عامل را بر عهده دارد به ادعای هنزه، حمله با مشکلی مواجه نخواهد شد.
در این حمله میتوان به همهی زنجیره کلیدهای لاگین و سیستم دسترسی داشت ولی دسترسی به اطلاعات Keychain آی کلود به دلیل استفاده از روشی متفاوت برای ذخیره سازی امکان پذیر نخواهد بود.
شما کاربران برای محافظت از سیستم عامل خود میتوانید برای ورود به Keychain از یک رمز عبور دیگر استفاده کنید. ولی استفاده از این روش توصیه نمیشود چون این موضوع به صورت پیش فرض فعال نیست و پس از فعال شدن شما باید برای انجام هر کاری چندین بار رمز عبور وارد کنید.
فیل منتشر شده توسط این محقق:
نظرات