Островок Капча
Островок Капча
Островок Капча
Написать пост

Скриншоты в macOS позволяют злоумышленникам красть персональную информацию

Новости

Независимый эксперт обнаружил «лазейку» в macOS, позволяющую злоумышленникам красть персональную информацию пользователей через скриншоты. Оказалось, это можно сделать через любые программы, установленные на компьютер Apple.

2К открытий2К показов

Независимому исследователю Феликсу Краузу удалось обнаружить уязвимость в функции создания скриншотов в macOS. Пользуясь возможностью произвольно снимать экран без уведомления пользователей, сторонние приложения могут красть их личную информацию.

Детали находки

С помощью библиотеки оптического распознавания знаков (OCR) злоумышленники имеют возможность программно считывать текст на скриншотах. Снимки экрана без ведома пользователя могут быть сделаны практически любым приложением, использующим функцию CGWindowListCreateImage.

Скриншоты в macOS позволяют злоумышленникам красть персональную информацию 1
  • Считывать идентификаторы и пароли из менеджеров паролей;
  • Получать приватный исходный код и ключи API;
  • Читать открытые письма и сообщения;
  • Определять используемые web-сервисы;
  • Красть персональную информацию (адрес проживания, данные пластиковых карт и т. п.).

Крауз отправил результаты своего исследования в Apple и сразу же опубликовал их в своем блоге, не дождавшись реакции компании. Там же он привел пример функции, которая позволяет любой программе тайно создать снимок экрана, и вынес несколько предложений по логике будущего патча от этой уязвимости.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов
Также рекомендуем
Анатомия данных: как устроено управление информацией
Анатомия данных: как устроено управление информацией
Объем информации растет, но без системного подхода данные превращаются в шум. Разбираемся, как в компаниях структурируют, анализируют и защищают данные, чтобы они работали на бизнес, а не создавали хаос.
Telegram начнет передавать IP-адреса и данные по запросу, без суда
Telegram начнет передавать IP-адреса и данные по запросу, без суда
Telegram изменил политику конфиденциальности, позволяя передавать IP-адреса и номера телефонов пользователей по запросу властей без судебного постановления
Что такое WebRTC — как работает, преимущества и примеры использования
Что такое WebRTC — как работает, преимущества и примеры использования
Что такое WebRTC. Показываем, как его использовать для разработки приложений реального времени. Рассматриваем возможные варианты и пошаговую инструкцию ✔ Tproger
В iOS 18.4 нашли ошибку, из-за которой приложения вылетают при обычных действиях
В iOS 18.4 нашли ошибку, из-за которой приложения вылетают при обычных действиях
В iOS 18.4 обнаружен баг с PAC и dlsym — приложения вылетают при вызове strcmp из-за двойной подписи указателя и сбоя в dyld