北京時間9月26日上午消息,就在蘋果推出macOS High Sierra操作系統(tǒng)前幾小時,一名安全研究員出面,說新操作系統(tǒng)存在安全問題,黑客可以借助漏洞發(fā)起零日攻擊(zero-day)。
前NSA黑客帕特里克·瓦爾德(Patrick Wardle)現(xiàn)在是Synack首席安全研究員,他公布一段視頻,演示自己是如何利用密碼泄露漏洞發(fā)起攻擊的。密碼存放在Mac計算機的Keychain內(nèi),一般來說,只有拿到主登錄密碼才能訪問。瓦爾德卻向我們證明,用戶只要從網(wǎng)絡(luò)下載一個無簽名App,黑客不需要主登錄密碼就可以竊取所有純文本密碼。
瓦里德制作一個名叫“keychainStealer”的App,用來演示攻擊過程,當(dāng)用戶登錄時,黑客可以竊取網(wǎng)站、服務(wù)密碼和信用卡號碼。黑客還可以利用看起來合法的App或者郵件發(fā)起攻擊。
在Twitter消息中,瓦里德建議蘋果拿出一些資金,獎給那些幫macOS找到漏洞的人。目前蘋果只為iPhone和iPad平臺提供獎金,如果找到高級安全引導(dǎo)固件漏洞,最高可以拿到20萬美元獎金。