09356816913

پژوهشگر امنیتی ازآسیب پذیری روز صفر macOS برای استخراج رمز عبور از key chain استفاده کرد

لینوس هنزه (Linuz Henze) محقق امنیتی آلمانی با انتشار یک ویدیو به تازگی روش استخراج رمز عبور از Kay chain را به نمایش گذاشت. او به نشانه ی اعتراض به اپل قصد ندارد جزیات اطلاعات خود را با اپل به اشتراک بگذارد.

Kay chain چیست؟

Kay chain  یک نرم افزاربرای مدیریت رمز عبور در سیستم عامل است که با استفاده از آن میتوان رمز عبور اپلیکیشن‌ها و حساب‌های کاربری خود در وبسایت‌ها را ذخیره کرد.

با توجه به این که او پیش از این هم باگ های زیادی از IOS  یافته بود، ادعایش قابل استناد است. هنزه به دلیل اینکه اپل فقط برای باگ های IOS به افراد جایزه میدهد و مبلغی بابت یافتن مشکلات در MAC  در نظر نگرفته است به نشانه ی اعتراض از دادن جزیات این موضوع  به اپل خود داری میکند.

 

 

 

برای حمله به نسخه ی دموی اپلیکیشن Kay steal حتی نیازی به دسترسی ادمین نیست. حتی مهم نیست که لیست Access Control تنظیم شده باشد یا نه.با وجود فعال بودن System Integrity Protection که وظیفه ی مراقبت از سیستم عامل را بر عهده دارد به ادعای هنزه، حمله با مشکلی مواجه نخواهد شد.

در این حمله می‌توان به همه‌ی زنجیره کلید‌های لاگین و سیستم دسترسی داشت ولی دسترسی به اطلاعات Keychain آی کلود به دلیل استفاده  از روشی متفاوت برای ذخیره سازی امکان پذیر نخواهد بود.

شما کاربران برای محافظت از سیستم عامل خود می‌توانید برای ورود به Keychain از یک رمز عبور دیگر استفاده کنید. ولی استفاده از این روش توصیه نمی‌شود چون این موضوع به صورت پیش فرض فعال نیست و پس از فعال شدن شما باید برای انجام هر کاری چندین بار رمز عبور وارد کنید.

 

فیل منتشر شده توسط این محقق:

 

 

 

 

نظرات
ارسال نظر