V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Chingim
V2EX  ›  Apple

High Sierra 安全隐患: 应用程序可以访问钥匙串并收集密码

  •  
  •   Chingim · 2017-09-26 08:16:33 +08:00 · 3875 次点击
    这是一个创建于 2650 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Patrick Wardle, Synack ’ s head of research, posted a video on Monday that shows how code he wrote can be used to get passwords from macOS ’ s Keychain. Keychain is the password manger built into macOS, and it usually requires a master password to access it. But Wardle ’ s code was able to access Keychain and collect passwords.

    source

    13 条回复    2017-09-26 17:11:24 +08:00
    0xcb
        1
    0xcb  
       2017-09-26 08:43:07 +08:00 via Android
    之前版本都可以的啊,只要你授权管理员帐户,dump keychain 简单的很
    Chingim
        2
    Chingim  
    OP
       2017-09-26 09:02:48 +08:00
    @0xcb 不用授权
    bkmi
        3
    bkmi  
       2017-09-26 11:04:02 +08:00 via Android
    按理说这应该是个大新闻,但是竟然没人关注的,神奇神奇
    Chingim
        4
    Chingim  
    OP
       2017-09-26 11:11:41 +08:00
    @bkmi macOS 的关注度是没有 iOS 的高, 大家普遍更加关注升 iOS 11 卡不卡, 耗电有没有增加.
    bkmi
        5
    bkmi  
       2017-09-26 11:19:07 +08:00 via Android
    @Chingim 首页还一堆讨论升级的呢
    tairan2006
        6
    tairan2006  
       2017-09-26 11:19:50 +08:00
    …这个很严重啊,还升什么级。。
    usedname
        7
    usedname  
       2017-09-26 11:34:44 +08:00
    这个 bug 没人关注?
    BearD01001
        8
    BearD01001  
       2017-09-26 11:55:47 +08:00
    持续关注...
    Mirage09
        9
    Mirage09  
       2017-09-26 11:59:34 +08:00
    看到了,原作者说给 Apple 发邮件了但是没有回应,我也好奇这明明就是个大新闻为什么没人发...
    wuhao930301
        10
    wuhao930301  
       2017-09-26 11:59:57 +08:00
    手动关注。为什么 Beta 版的时候没曝出来,是正式版才有的 bug 么
    Chingim
        11
    Chingim  
    OP
       2017-09-26 12:04:59 +08:00
    @wuhao930301 小人之心地不负责任地推断, 这漏洞估计早就发现了, 就等苹果发布正式版吧
    onevcat
        12
    onevcat  
       2017-09-26 12:05:44 +08:00
    https://twitter.com/patrickwardle/status/912254053849079808

    这个吧?看起来是一直就有的吧,作者也说“ other versions of macOS are vulnerable too ”

    只有 unsign app 能干这事儿,没签名或者签名不对的 app 别用就是了..
    warking
        13
    warking  
       2017-09-26 17:11:24 +08:00
    Correction: The exploit affects other macOS versions too, including the latest High Sierra, but is not specific to the latter only. Apple has actually fixed a number of critical security flaws with macOS 10.13 making it an important update.

    http://wccftech.com/macos-high-sierra-hackers-steal-passwords/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2724 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:38 · PVG 22:38 · LAX 06:38 · JFK 09:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.