Applen macOS Mojave-käyttöjärjestelmästä löytyi haavoittuvuus – Järjestelmän salasanat saadaan auki oikealla työkalulla

Turvallisuuteen perehtynyt tutkija Linus Henze on löytänyt haavoittuvuuden Applen macOS Mojave-käyttöjärjestelmästä. Oikeilla työkaluilla se sallii hyökkääjän saamaan käyttöjärjestelmän salasanat. Henze esitteli YouTube-kanavallaan ”KeySteal”-nimistä sovellusta, joka purkaa kirjautumisen salasanat macOS-avainnipussa, käyttöjärjestelmän avaamiseen ei tarvittu edes järjestelmävalvojan salasanaa.

Linus Henzenin KeySteal-sovellus hyödyntää uutta macOS-avainnippua, joten se toimii myös silloin, kun käyttöoikeusluetteloa (ACL) ja järjestelmän integroinnin suojausta (SIP) ei ole vielä määritelty. Paras uutinen tässä on, että haavoittuvuus ei vaikuta milläänlailla iCloud-avainnippuun.

Linus Henzen löytämä avainnipun hyödyntäminen näyttää vaikuttavan uusimpaan MacOS Mojave 10.14 -käyttöjärjestelmän versioihin aina 10.14-10.14.3 uusimpaan versioon. Tutkija kieltäytyy kuitenkin jakamasta mitään tietoja Applen kanssa, koska hän ​​protestoi haavoittuvuudella Applea vastaan juuri sen takia, että Applella ei ole minkäänlaista sovellusta käyttöjärjestelmessään, joka ilmoittaisi haavoittuvuuksista.

“Se on kuin he eivät välittäisi macOS-käyttöjärjestelmästä”, Linus Henze kertoi Forbesille. “Tällaisten haavoittuvuuksien löytäminen, kuten tämä, vie aikaa, ja luulen vain, että tutkijat joille maksetaan, saattaa ongelman korjaaminen auttaa. Autamme Applea tekemään tuotteestaan ​​turvallisemman.”

Apple ei pysty todennäköisesti korjaamaan Linus Henzenin löytämää avainnipusta johtuvaa haavoittuvuutta macOS-käyttöjärjestelmässä, sillä Applen macOS-käyttöjärjestelmässä ei ole sellaista sovellusta, joka raportoisi haavoittuvuuksista suoraan Applelle. Tällainen sovellus löytyy vain iOS-käyttöjärjestelmälle. Toivon mukaan, että Apple löytää keinon maksaa Henzelille tärkeästä löydöstään, ja yhtiö käsittelisi asian ajoissa.

Tätä haavoittuvuutta ajatellen Applen pitäisi tuoda myös sellainen sovellus, joka ilmoittaa bugeista ja muista haavoittuvuuksista macOS-käyttöjärjestelmästä, jotta se voidaan korjata ajoissa, kuten Linus Henzenin löytämät tietoturva-aukot.

Kommentoi artikkelia

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.