В macOS выявлена возможность обойти защиту и получить доступ к Связке ключей

25 сентября компания Apple выпустила обновление macOS High Sierra. Оно включало в себя несколько улучшений безопасности, однако не обошлось без неприятных сюрпризов.
Связке ключей

В High Sierra и более ранних версиях macOS была обнаружена уязвимость, которая позволяет несанкционированным приложениям красть незашифрованные пароли, хранящиеся в Связке ключей.

Связка ключей — это цифровое хранилище, в котором находятся пароли, данные кредитных карт и другая важная информация пользователей. Инженеры компании Apple разработали его таким образом, что установленные приложения не могут получить доступ к его содержимому, пока пользователь не введёт основной пароль. Замеченная в Связке ключей уязвимость, однако, позволяет несанкционированным приложениям красть каждый незашифрованный пароль без ведома пользователя. Патрик Уордл, бывший сотрудник Агентства на­ци­о­наль­ной бе­зо­пас­нос­ти США и исследователь безопасности в Synack, выложил видео с демонстрацией этого процесса.

На видео показан процесс скачивания приложения на Mac под управлением High Sierra. Как только приложение устанавливается, можно увидеть взломщик, находящийся на удаленном сервере с запущенной сетевой утилитой Netcat. Когда взломщик нажимает на кнопку «exfil keychain», приложение тайно извлекает все пароли, расположенные в Связке ключей, и загружает их на сервер. Для кражи не требуется вмешательство пользователя, за исключением установки несанкционированного приложения. Ни приложение, ни macOS не просят никаких разрешений и не показывают никаких предостережений.

Представитель компании Apple отправил по электронной почте следующее заявление:

macOS создана, чтобы быть безопасной. Gatekeeper предупреждает пользователей о скачивании нелицензированных приложений. Также система предостерегает пользователей от запуска подозрительных программ без разрешения. Мы настоятельно рекомендуем пользователям скачивать ПО только из надежных источников, таких как Mac App Store, и обращать особое внимание на диалоговые окна безопасности, которые появляются в macOS.

По умолчанию Gatekeeper предостерегает пользователей Mac от установки приложений, если у них не имеется цифровой подписи разработчиков. Хотя приложение в видео и не имеет подписи и, как результат, не может быть установлено по умолчанию на Mac, уязвимость может распространяться и через приложения с лицензией. Все, что требуется для цифровой подписи, — членство в Apple Developer Program стоимостью $99 в год.

И это уже не первая ошибка Apple, связанная с безопасностью десктопной операционной системы компании. Еще до релиза обновления Патрик обнаружил и другие уязвимости в macOS, связанные с новой системой защиты ядра SKEL.

Источник: Ars Technica