包括High Sierra等macOS的Keychain遭爆有漏洞,臉書、app密碼可被看光光
新一代macOS作業系統High Sierra預定今(26)日才要正式開放下載,不過有研究人員發現指出,High Sierra及早前的macOS的Keychain功能出現漏洞,可讓駭客以明碼取得各項app的密碼。
Keychain是可存放Mac電腦中各app及網站密碼的地方,需要有主密碼以登入存取。但前國安局駭客,現為資安公司Synack首席研究員Patrick Wardle在推特貼出的一段影片,他利用製作的概念驗證app KeychainStealer,示範密碼竊取攻擊。
在影片中,只要使用者以網路下載未簽章的應用程式,駭客就能在遠端伺服器上執行常見的網路測試工具Netcat藉此取得使用者電腦中的臉書、推特以及網路銀行密碼,過程中不需使用者做什麼事,而且app或macOS也都完全沒有發出任何告警或要求許可。
Wardle指出,其實除了High Sierra,任何版本macOS都有這項漏洞。事實上,去年7月就曾經爆發過這項漏洞,可使Keychain所有密碼以明文顯示,連mac OS X 10.10、10.11.5都未能倖免於難。
Wardle表示,他本月稍早即通知蘋果,但覺得蘋果還沒修補好High Sierra這項漏洞就要開放大眾下載,因此決定提早爆料。他也對macOS的安全性感到失望。
蘋果對媒體發表聲明,macOS上的安全檢查功能Gatekeeper會在使用者安裝未簽章的app時發出警告,以及禁止app在未經用戶同意前啟動。蘋果也呼籲用戶不要從不明的第三方軟體市集下載軟體,並確實留意macOS發出的安全通知。
