您在 Mac 上收到一張映像,然後您就獲得了儲存在 Keychain 或 Keychain Access(Mac OS X 密碼管理器)中的所有密碼,這很令人擔憂,對吧?
然而,這是黎巴嫩開發商 Antoine Vincent Jebara 和 Raja Rahbani 剛剛發現的。在開發自己的身分管理軟體 MyKi 時,他們在 Keychain 中發現了一個很好的錯誤。
只需鍵入一系列命令列即可確保系統可以存取儲存的密碼,而無需使用者輸入其密碼(主密碼)。唯一的小障礙是彈出一個帶有“允許”按鈕的警報,很容易繞過。確實可以在軟體中模擬滑鼠點擊。
為了證明他們的發現,兩位開發人員創建了嵌入圖像中的惡意軟體,一旦打開該圖像,就會執行命令列並「按下」按鈕。一切都發生得非常快:警報視窗僅打開不到 200 毫秒,因此用戶除了火之外什麼也看不見。然後將恢復的密碼透過簡訊發送給駭客。
開發人員製作了一個簡短的視頻,展示了攻擊是如何展開的:
毫米。 Jebara 和 Rahbani 將這個缺陷描述為“極為關鍵”因為它不需要任何特權提升,而且它的利用可以整合在任何軟體中,既不可見也不未知,而反惡意軟體解決方案無法檢測到它。即使攻擊只能在 Mac 上進行,如果使用者啟動了 iCloud Keychain(iCloud 中的密碼儲存服務),iPhone 和 iPad 也可能受到間接影響。
顯然,開發人員沒有向公眾透露允許存取 Keychain Access 中儲存的密碼的命令列,他們也不打算這樣做。但他們將所有細節傳遞給了蘋果公司,以便其工程師能夠進行修復。
希望蘋果不要浪費太多時間,因為這種技術很可能已經被駭客積極利用。事實上,幾天前 Malwarebytes 安全研究人員在名為 Genieo 的廣告軟體中觀察到了一種非常相似的技術。據駭客 Noar 稱,自 2011 年以來,這個缺陷甚至在名為 OSX.DevilRobber 的惡意軟體中被利用。令人放心。
https://twitter.com/noarfromspace/status/639125916233416704
