cover_image

Apple macOS 窃取keychain的 0day漏洞(附演示视频截图)

黑鸟 黑鸟 2019年02月09日 07:43


图片

德国18岁的Linus Henze发现了一个影响最新Apple macOS的漏洞,该漏洞使存储的密码可能会对恶意的应用程序开放。


Keychain Access是macOS中的密码管理系统应用程序,它为Facebook/Twitter/亚马逊等服务保存各种加密密码。


攻击背后的研究人员Linus Henze表示,该漏洞存在于应用程序的访问控制中,使他能够在没有root或管理员权限的情况下提取本地密钥链密码,并且无需密码提示。


这可能使得包括您的银行网站,亚马逊,Netflix,Slack和更多应用程序的登录凭证泄露。

即使这是一个仅限MacOS的漏洞,但如果你存储或使用有iCloud keychain,那么在iPhone和Mac上同步的密码也可能存在危险。


更糟糕的是,Henze并没有向Apple透露他的调查结果,因此漏洞可能没有修复工作。

图片



这个大佬主要不想告诉苹果细节的原因在于苹果公司对于macos的漏洞赏金制度建立不够完善,从而拒绝提供细节。



图片



下面为视频演示截图,某些公众号偷截图也就算了还打上水印真是够了,就不点名,自己心里有数。


图片


图片


图片

图片

图片图片


点击了一下deny

图片图片

图片


然后亮出了大佬自己做的神器。

图片

图片

图片

图片

图片

图片

以上视频演示到此结束。


由于最新的Apple更新,经过大佬的验证仍未修补该漏洞。


为了您的安全起见,请清空MacOS中存储的密码。



macOS系统下KeyChain的缺陷





图片


抽奖者需关注本公众号,并要求转发带有本抽奖信息的文章到朋友圈,并需所有人可见,放置半个小时以上,截图保存作为兑奖依据。

奖品为:

360 威胁情报中心技术分析文章结集 1 份,外加一本 apt 汇总本,抽 4 个人,年后发货,我掏运费,中奖者请私发收货地址给我


抽奖年初七开启,因为我没货在身边,所以时间延长一点啦。


再次感谢大家对知识星球抽奖活动的支持,年后知识星球价格老规矩还是会上调几块,越早加入越优惠哦。


图片



谢谢您的好看,祝您猪年行大运。👇

微信扫一扫
关注该公众号

继续滑动看下一个
黑鸟
向上滑动看下一个