macOS 鑰匙圈功能爆出漏洞,最新 High Sierra 版本也在其中

作者 | 發布日期 2017 年 09 月 27 日 9:41 | 分類 3C , Apple , 資訊安全 follow us in feedly


蘋果 macOS High Sierra 正式版已在 25 日開放下載,但在釋出前幾個小時,國外媒體紛紛報導資安研究員發現 macOS 存在零日漏洞,不法駭客可藉機竊取用戶資料。

曾入侵 NSA(National Security Agency,美國國家安全局)的駭客、現為資安公司 Synack 研究員的 Patrick Wardle,日前發現蘋果 macOS 密碼管理功能 Keychain(鑰匙圈)的零日漏洞(Zero-day exploit)。

Keychain 自 macOS 8.6 及後續版本就被匯入到核准的蘋果裝置,包含密碼、私鑰、電子憑證等多種類型的數據資料。Patrick Wardle 創造一款名為「KeychainStealer」的驗證程式,藉以示範透過該漏洞竊取 Keychain 裡儲存網站或服務的密碼及信用卡資訊,如下方影片所示。

Patrick Wardle 已在本月初向蘋果回報漏洞,可惜的是在最新發表的 macOS High Sierra 正式版本卻未修復。他表示身為一名熱情的 Mac 用戶,對 macOS 的安全性感到失望,他覺得用戶應該要知道哪些使用狀況處在危險中。

此外,Patrick Wardle 也建議官方應祭出一套 macOS 的漏洞回報獎勵計畫,該公司目前僅針對回報 iPhone 與 iPad 的漏洞,提供最高 20 萬美元(約台幣 60.8 萬元)獎金。

蘋果透過國外媒體 CNET 回應,macOS 內建的 Gatekeeper 功能預設阻止惡意軟體和不當 Apps 從網路下載並發出警告,該公司也呼籲使用者應透過信賴的來源如 Mac App Store 下載 Apps,並留意 macOS 發出的安全通知,但未進一步說明何時修補漏洞。

(圖片來源:蘋果官網)

延伸閱讀: