Linuz Henze, istraživač sigurnosti, podijelio je svoje Cvrkut video koji demonstrira sigurnosni propust u operativnom sustavu macOS. Navedeni bug omogućuje pristup lozinkama pohranjenim u Keychain-u, točnije stavkama u kategorijama Prijava i sustav.
Henze je komentirao i bug bounty program koji Apple provodi. Prema vlastitim riječima, frustriran je što je program specijaliziran isključivo za iOS operativni sustav i ne fokusira se na macOS. U znak prosvjeda protiv Appleovog postupanja s greškama u svojim sustavima i njihovog prijavljivanja, Henze je odlučio ne obavijestiti tvrtku službeno o svojim nalazima.
Henze je već uspio otkriti više od jednog buga u iOS operativnom sustavu u prošlosti, tako da se njegove riječi mogu smatrati vjerodostojnim i istinitim. Za izvođenje napada nije potrebno dobiti administrativne ovlasti, a pristup lozinkama u Keychainu na Macu moguće je dobiti čak i na računalima s aktiviranom zaštitom integriteta sustava. Međutim, pogreška ne utječe na privjesak ključeva iCloud jer on pohranjuje lozinke na drugačiji način. Teoretski je moguće obraniti se od pogreške osiguravanjem samog privjeska s još jednom lozinkom, no to nije opcija koja bi bila dostupna prema zadanim postavkama, cijeli je proces prilično složen i kao rezultat dovodi do brojnih verifikacijskih dijaloga tijekom rada na Mac.
Izvor: 9to5Mac
Jabuka je u guzici. Živio novi emoji. Jednog dana 14-godišnji dječak otkriva brutalnu pogrešku u FaceTimeu. Sada ravno na Keychain. Gotovo izgleda kao da generira zaporke, gleda kako ih hash program kodira, raspršuje i dobiva rezultat.
Što je sa sigurnošću, pogotovo jer imamo politički korektan emoji i tiskanu zastavu u duginim bojama na web stranici Applea na pravi dan. To je sada prioritet!