Похоже, у Apple наступила чёрная полоса в вопросе безопасности её продуктов. Ещё не успел успокоиться скандал касательно уязвимости в FaceTime, как стало известно, что в операционной системе macOS нашлась дыра, посредством которой можно получить к логинам и паролям пользователей.
Уязвимость обнаружил 18-летний житель Германии Линус Хенце (Linus Henze). Подробностями он не поделился, но рассказал, что уязвимость связана со связкой ключей iCloud (iCloud Keychain) — функцией, которая как раз ответственна за хранение логинов и паролей.
Юный хакер рассказал, что создал приложение, способное получать из iCloud Keychain данные, не требуя какого-либо подтверждения со стороны пользователя.
Интереснее всего в этой истории тот факт, что Хенце заявил, что не будет рассказывать Apple о найденной уязвимости, так как компания не выплачивает за это вознаграждений. Если точнее, такая программа у Apple есть, но она касается iOS.
Ресурс Forbes связался с экспертом по безопасности, ранее работавшим в АНБ, который подтвердил наличие уязвимости.
Большое спасибо Линусу. Это действительно прекрасный баг. Пока Apple не сосредоточится на безопасности, я отключу свой Mac и займусь серфингом.
Немного обескураживает то, что Apple не может понять, как обеспечить безопасность связки ключей. Какой смысл создавать что-то в системе для хранения самой важной информации, если сам этот механизм небезопасен
Сама Apple отказалась от комментариев, так как пока не владеет информацией. Собственно, Хенце к компании и не обращался, просто выложив информацию в общий доступ. Как поступит в этой ситуации Apple, можно лишь гадать.
На фоне двух столь серьёзных дыр в безопасности, весьма забавно смотрится недавняя попытка Apple потроллить конкурентов на CES 2019.
Источник: iXBT