安全研究人員 Patrick Wardle 在 macOS 中發現瞭重大安全漏洞,這個漏洞允許任意應用,無論是簽名或者是未簽名的,從鑰匙串中提取明文密碼。Wardle 還在視頻中演示瞭這一系列操作。
這次發現的安全漏洞情況比較嚴重,因為鑰匙串的數據是經過 256 位 AES 加密的,也就是很難將其破解。這次的 bug 影響所有版本的 macOS,包括剛發佈的 High Sierra。
正常情況下,應該隻有申請訪問的應用可以解謎密碼,但這個 bug 可以讓任意應用提取和解謎所有儲存的密碼,而且不需要用戶參與。Wardle 在本月 7 日已經將 Bug 遞交給蘋果,蘋果可能會在不久之後推出修復升級。
本文由 MacX.cn 授權轉載。
