北京时间9月26日上午消息,就在苹果推出macOS High Sierra操作系统前几小时,一名安全研究员出面,说新操作系统存在安全问题,黑客可以借助漏洞发起零日攻击(zero-day)。
前NSA黑客帕特里克·瓦尔德(Patrick Wardle)现在是Synack首席安全研究员,他公布一段视频,演示自己是如何利用密码泄露漏洞发起攻击的。密码存放在Mac计算机的Keychain内,一般来说,只有拿到主登录密码才能访问。瓦尔德却向我们证明,用户只要从网络下载一个无签名App,黑客不需要主登录密码就可以窃取所有纯文本密码。
瓦里德制作一个名叫“keychainStealer”的App,用来演示攻击过程,当用户登录时,黑客可以窃取网站、服务密码和信用卡号码。黑客还可以利用看起来合法的App或者邮件发起攻击。
在Twitter消息中,瓦里德建议苹果拿出一些资金,奖给那些帮macOS找到漏洞的人。目前苹果只为iPhone和iPad平台提供奖金,如果找到高级安全引导固件漏洞,最高可以拿到20万美元奖金。
京公网安备 11010502049343号