包括High Sierra等macOS的Keychain遭爆有漏洞,臉書、app密碼可被看光光

包括High Sierra等macOS的Keychain遭爆有漏洞,臉書、app密碼可被看光光 Keychain為Mac存放app及網站密碼的地方,並有主密碼限制存取,研究人員發現Keychain中有漏洞,利用網路測試工具Netcat,就可竊取使用者電腦中的臉書、推特、網銀等密碼,過程中不會觸發任何警告或請求許可。 文/林妍溱 | 2017-09-26發表 示意圖,與新聞事件無關。 圖片來源: Apple 新一代macOS作業系統High Sierra預定今(26)日才要正式開放下載,不過有研究人員發現指出,High Sierra及早前的macOS的Keychain功能出現漏洞,可讓駭客以明碼取得各項app的密碼。 Keychain是可存放Mac電腦中各app及網站密碼的地方,需要有主密碼以登入存取。但前國安局駭客,現為資安公司Synack首席研究員Patrick Wardle在推特貼出的一段影片,他利用製作的概念驗證app KeychainStealer,示範密碼竊取攻擊。在影片中,只要使用者以網路下載未簽章的應用程式,駭客就能在遠端伺服器上執行常見的網路測試工具Netcat藉此取得使用者電腦中的臉書、推特以及網路銀行密碼,過程中不需使用者做什麼事,而且app或macOS也都完全沒有發出任何告警或要求許可。 Wardle指出,其實除了High Sierra,任何版本macOS都有這項漏洞。事實上,去年7月就曾經爆發過這項漏洞,可使Keychain所有密碼以明文顯示,連mac OS X 10.10、10.11.5都未能倖免於難。 Wardle表示,他本月稍早即通知蘋果,但覺得蘋果還沒修補好High Sierra這項漏洞就要開放大眾下載,因此決定提早爆料。他也對macOS的安全性感到失望。 蘋果對媒體發表聲明,macOS上的安全檢查功能Gatekeeper會在使用者安裝未簽章的app時發出警告,以及禁止app在未經用戶同意前啟動。蘋果也呼籲用戶不要從不明的第三方軟體市集下載軟體,並確實留意macOS發出的安全通知。 iThome Security

更多訊息更多資料都在這裡喔!~青春元素~芙婷寶~力雪達~蜂王漿~保健食品~智勝王~地龍酵素~膠股力~膠骨力~蚯蚓粉~血栓溶解酵素~健康食品~南極寶~地龍粉~蝦紅素~蜂王乳~蝦青素~PPLS~磷蝦油

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *