Написать пост

Скриншоты в macOS позволяют злоумышленникам красть персональную информацию

Аватар Светлана Хачатурян
Светлана Хачатурян

Независимый эксперт обнаружил «лазейку» в macOS, позволяющую злоумышленникам красть персональную информацию пользователей через скриншоты. Оказалось, это можно сделать через любые программы, установленные на компьютер Apple.

Независимому исследователю Феликсу Краузу удалось обнаружить уязвимость в функции создания скриншотов в macOS. Пользуясь возможностью произвольно снимать экран без уведомления пользователей, сторонние приложения могут красть их личную информацию.

Детали находки

С помощью библиотеки оптического распознавания знаков (OCR) злоумышленники имеют возможность программно считывать текст на скриншотах. Снимки экрана без ведома пользователя могут быть сделаны практически любым приложением, использующим функцию CGWindowListCreateImage.

Скриншоты в macOS позволяют злоумышленникам красть персональную информацию 1
  • Считывать идентификаторы и пароли из менеджеров паролей;
  • Получать приватный исходный код и ключи API;
  • Читать открытые письма и сообщения;
  • Определять используемые web-сервисы;
  • Красть персональную информацию (адрес проживания, данные пластиковых карт и т. п.).

Крауз отправил результаты своего исследования в Apple и сразу же опубликовал их в своем блоге, не дождавшись реакции компании. Там же он привел пример функции, которая позволяет любой программе тайно создать снимок экрана, и вынес несколько предложений по логике будущего патча от этой уязвимости.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов
Также рекомендуем
Обложка поста Что общего и в чем разница между MacOS и Linux
Что общего и в чем разница между MacOS и Linux
Разбираемся, справедлив ли аргумент о схожести Linux и MacOS, и объясняем, чем похожи и чем отличаются две операционные системы.
Обложка поста Из цикла ETL: Создаем Tripwire-бота на aiogram, часть 1
Из цикла ETL: Создаем Tripwire-бота на aiogram, часть 1
Рассказали, как создать привлекающего на курс по управлению проектами Telegram-бота на aiogram, с полным разбором кода.
Обложка поста Алгоритмы против мошенников. Центр Big Data МТС разработал новый антифрод-сервис для маркетплейсов
Алгоритмы против мошенников. Центр Big Data МТС разработал новый антифрод-сервис для маркетплейсов
МТС разработал собственный антифрод-сервис. Алгоритм умеет определять ещё на этапе авторизации надёжность пользователя.
Обложка поста Современный программист: актуальные навыки
Современный программист: актуальные навыки
Из найма в IT к управлению собственной компанией Алексей Лихацкий шел более 10 лет. Из года в год индустрия менялась. Появлялись не только новые требования к специалистам, но и профессии. Рассказали о внешних и внутренних переменах рынка и их влиянии на нужные для специалиста навыки.