జర్మన్ భద్రతా పరిశోధకుడు Linus Henze ఈ వారం 'KeySteal' అని పిలువబడే కొత్త జీరో-డే macOS దుర్బలత్వాన్ని కనుగొన్నారు, ఇది క్రింది వీడియోలో డెమో చేయబడినట్లుగా, కీచైన్ యాప్లో నిల్వ చేయబడిన అన్ని సున్నితమైన డేటాను పొందడానికి ఉపయోగించవచ్చు.
అడ్మినిస్ట్రేటర్ యాక్సెస్ లేదా అడ్మినిస్ట్రేటర్ పాస్వర్డ్ అవసరం లేకుండా Mac యొక్క కీచైన్ యాప్ నుండి డేటాను సంగ్రహించడానికి Henze హానికరమైన యాప్ని ఉపయోగిస్తున్నట్లు కనిపిస్తోంది. ఇది కీచైన్ నుండి పాస్వర్డ్లు మరియు ఇతర సమాచారాన్ని అలాగే ఇతర macOS వినియోగదారుల కోసం పాస్వర్డ్లు మరియు వివరాలను పొందవచ్చు.
ఆపిల్ మ్యూజిక్లో క్లీన్ మ్యూజిక్ ప్లే చేయడం ఎలా
Henze ఈ దోపిడీకి సంబంధించిన వివరాలను Appleతో పంచుకోలేదు మరియు MacOS కోసం Appleకి బగ్ బౌంటీ ప్రోగ్రామ్ అందుబాటులో లేనందున దానిని విడుదల చేయనని చెప్పాడు. 'కాబట్టి వారిని నిందించండి' అని హెన్జ్ వీడియో వివరణలో రాశారు. ఒక ప్రకటనలో ఫోర్బ్స్ , హెంజ్ తన స్థానాన్ని స్పష్టం చేశాడు మరియు దుర్బలత్వాలను కనుగొనడానికి సమయం పడుతుందని చెప్పాడు.
'ఇలాంటి దుర్బలత్వాలను కనుగొనడానికి సమయం పడుతుంది, మరియు పరిశోధకులకు చెల్లించడం సరైన పని అని నేను భావిస్తున్నాను, ఎందుకంటే మేము Apple వారి ఉత్పత్తిని మరింత సురక్షితంగా చేయడానికి సహాయం చేస్తున్నాము.'
Apple iOS కోసం రివార్డ్ ప్రోగ్రామ్ను కలిగి ఉంది, అది బగ్లను కనుగొనే వారికి డబ్బును అందిస్తుంది, కానీ macOS బగ్ల కోసం ఇలాంటి చెల్లింపు వ్యవస్థ లేదు.
జర్మన్ సైట్ ప్రకారం హీస్ ఆన్లైన్ , ఇది Henzeతో మాట్లాడింది, దోపిడీ Mac కీచైన్ ఐటెమ్లకు యాక్సెస్ని అనుమతిస్తుంది కానీ iCloudలో నిల్వ చేయబడిన సమాచారం కాదు. కీచైన్ను అన్లాక్ చేయడం కూడా అవసరం, ఒక వినియోగదారు Macలో వారి ఖాతాకు లాగిన్ చేసినప్పుడు డిఫాల్ట్గా జరిగేది.
కీచైన్ యాప్ను తెరవడం ద్వారా కీచైన్ను లాక్ చేయవచ్చు, అయితే ఏదైనా అప్లికేషన్ కీచైన్ను యాక్సెస్ చేయాల్సిన అవసరం వచ్చినప్పుడు అడ్మిన్ పాస్వర్డ్ను నమోదు చేయాల్సి ఉంటుంది, ఇది అసౌకర్యంగా ఉంటుంది.
Apple యొక్క భద్రతా బృందం ప్రకారం, Henze చేరుకుంది ZDNet , కానీ అతను macOS కోసం బగ్ బౌంటీ ప్రోగ్రామ్ను అందిస్తే తప్ప అదనపు వివరాలను అందించడానికి నిరాకరించడం కొనసాగించాడు. 'నేను కేవలం డబ్బు కోసమే ఇలా చేస్తున్నానని అనిపించినా, ఈ విషయంలో ఇది నా ప్రేరణ కాదు' అని హెంజ్ అన్నారు. 'బగ్ బౌంటీ ప్రోగ్రామ్ను రూపొందించడానికి ఆపిల్ను పొందడం నా ప్రేరణ. ఇది ఆపిల్ మరియు పరిశోధకులకు ఉత్తమమైనదని నేను భావిస్తున్నాను.
MacOSలో కనుగొనబడిన మొదటి కీచైన్-సంబంధిత దుర్బలత్వం ఇది కాదు. భద్రతా పరిశోధకుడు పాట్రిక్ వార్డల్ 2017లో ఇదే విధమైన దుర్బలత్వాన్ని ప్రదర్శించారు, ఇది పాచ్ చేయబడింది.
ప్రముఖ పోస్ట్లు