Apple Keychain (צילום: רונן מנדזיצקי, גאדג'טי)

פרצת אבטחה חדשה במערכת ההפעלה MacOS מאפשרת לגנוב סיסמאות מכלי ה-Keychain

| יום חמישי, 7 בפברואר 2019, 12:31 | מערכות הפעלה

פרצת אבטחה חדשה אותרה במערכת ההפעלה MacOS של אפל (Apple) כשהיא מעניקה תוקף גישה לסיסמאות המאוחסנות בכלי ניהול הסיסמאות של המערכת, ה-Keychain. יש רק בעיה אחת, חוקר האבטחה שזיהה את הפרצה החדשה מסרב למסור את המידע לאפל על שתשיק תוכנית Bug Bounty למערכת ה-MacOS .

חוקר אבטחה גרמני צעיר (18) בשם Linuz Henze הצליח לאתר פרצת אבטחה חדשה במנגנון אחסון הסיסמאות של תוכנת ה-Keychain של אפל, אך בניגוד לפרצה קודמת שאותרה בעבר ותוקנה, פעילה הפרצה החדשה בכלל גרסאות המערכת, כולל MacOS Mojave העדכנית של החברה.

הסיפור מקבל תפנית לא שגרתית כאשר Henze החליט שלא למסור את פרטי הפרצה לאפל על מנת שזו תוכל לתקן את הפרצה. חוסר המוכנות למסור את פרטי הפרצה נובע, לפי דבריו של Henze, מכך שאפל מפעילה תוכנית Bug Bounty המשלמת לחוקרי אבטחה על מציאת פרצות רק למערכת ה-iOS למכשירים הניידים ולא למערכת ה-MacOS, מה שלדבריו מראה כי אפל לא מתעניינת באבטחת מערכת ההפעלה שלה.

לפניכם הדגמת הפרצה על ידי שימוש בתוכנת KeySteal המשתמשת בפרצת האבטחה:

Henze מגן על ההחלטה שלו לא למסור את המידע לאפל עד שזו לא תפעיל תוכנית Bug Bounty בכך ש:

מציאת נקודות תורפה כמו זו לוקחת זמן, אני פשוט חושב שתשלום לחוקרי אבטחה זה הדבר הנכון לעשות כי אנחנו עוזרים לאפל להפוך את המוצר שלהם למאובטח יותר.

תוכניות ה-Bug Bounty הפכו לדבר נפוץ בחברות מרובות כמו גוגל, מיקרוסופט ועוד, שמשלמות לחוקרי אבטחה שחושפים פרצות אבטחה שונות במערכות ותוכנות שלהן דרך תוכנית מסודרת המתגמלת את העבודה שלהם בהתאם לחומרה של הפרצה.

בעוד שאפל מפעילה תוכנית Bug Bounty עבור מערכת ההפעלה iOS, העובדה כי היא לא מפעילה תוכנית דומה ל-MacOS נשמעת תמוהה מעט, כאשר Henze מקבל גיבוי חלקי בהחלטה שלו מחוקרי אבטחה נוספים.

מקורות
forbes
במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות