Amaya Toman Linuz Henze, pesquisador de segurança, compartilhou seu Twitter vídeo demonstrando uma falha de segurança no sistema operacional macOS. O bug mencionado possibilita o acesso às senhas armazenadas no Keychain, especificamente aos itens das categorias Login e Sistema.
Henze também comentou sobre o programa de recompensas por bugs que a Apple executa. Em suas próprias palavras, ele está frustrado porque o programa é especializado exclusivamente no sistema operacional iOS e não tem foco no macOS. Em protesto contra a maneira como a Apple lida com bugs em seus sistemas e seus relatórios, Henze decidiu não informar oficialmente a empresa sobre suas descobertas.
Henze já conseguiu descobrir mais de um bug no sistema operacional iOS no passado, então suas palavras podem ser consideradas confiáveis e verdadeiras. Não é necessário obter privilégios administrativos para realizar o ataque, e o acesso às senhas no Keychain no Mac pode ser obtido mesmo em computadores com proteção de integridade do sistema ativada. No entanto, as chaves do iCloud não são afetadas pelo erro porque armazenam as senhas de uma maneira diferente. É teoricamente possível se defender contra o erro protegendo o próprio chaveiro com mais uma senha, mas esta não é uma opção que estaria disponível por padrão, todo o processo é bastante complexo e como resultado leva a inúmeras caixas de diálogo de verificação durante o trabalho em o Mac.
Zdroj: 9to5Mac
A Apple está na bunda. Viva o novo emoji. Um dia, um menino de 14 anos descobre um erro brutal no FaceTime. Agora direto para o Keychain. Quase parece que ele está gerando senhas, observando o programa hash codificá-las, fazer hash e obter o resultado.
E quanto à segurança, especialmente porque temos um emoji politicamente correto e uma bandeira de arco-íris impressa no site da Apple no dia certo. Essa é a prioridade agora!