นักวิจัยด้านความปลอดภัยเปิดเผยข้อบกพร่องเป็นศูนย์ในรหัสผ่าน MacOS ปลอดภัย แต่เขาไม่ต้องการส่งรายละเอียดไปยัง Apple ตราบใดที่มันไม่ได้เสนอBug Bounty- คำถามของหลักการตามเขา
Linus Henze เป็นประเภทที่ดื้อรั้น นักวิจัยด้านความปลอดภัยนี้เพิ่งพบข้อบกพร่องที่สำคัญในรหัสผ่านที่ปลอดภัยของ MacOS ("พวงกุญแจ" นามแฝง "Access Trouseaux")
ช่วยให้แอปพลิเคชันใด ๆ ที่ติดตั้งในระบบสามารถเข้าถึงรหัสลับที่มีค่าได้โดยไม่จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ มันค่อนข้างจริงจังเพราะแอปพลิเคชันพวงกุญแจเก็บรหัสผ่านของบริการออนไลน์ทั้งหมดเช่นการส่งข้อความหรือเครือข่ายสังคมออนไลน์ นอกจากนี้ยังช่วยให้สามารถเข้าถึงโน้ตที่ปลอดภัย
เพื่อใช้ประโยชน์จากข้อบกพร่องนี้มันจะเพียงพอสำหรับผู้โจมตีที่จะกระจายแอปพลิเคชัน verolled และติดตั้งโดยผู้ใช้ MacOS ทุกรุ่นมีความกังวลรวมถึงรุ่นสุดท้าย (MacOS Mojave 10.14.3) เพื่อพิสูจน์ว่าผู้เชี่ยวชาญได้โพสต์วิดีโอสาธิตออนไลน์
น่าเสียดายที่คุณไม่ควรหวังว่าจะได้เห็นแพตช์ระยะสั้น นักวิจัยด้านความปลอดภัยปฏิเสธที่จะส่งรายละเอียดทางเทคนิคของการโจมตีของเขาไปยัง บริษัท คูเปอร์ติโน เหตุผลนั้นง่ายเขาอธิบายต่อเว็บไซต์heise.deเป็นเพราะ บริษัท อเมริกันไม่ได้เสนอโปรแกรมรางวัล (Bug Bounty- อันที่จริงแล้ว Apple จ่ายเฉพาะข้อผิดพลาดที่พบใน iOS และอีกครั้งในการสัมผัสแจ็คพอตคุณจะต้องเป็นส่วนหนึ่งของนักวิจัยด้านความปลอดภัยที่ Apple จัดเรียงบนชัตเตอร์ วิธีการทำสิ่งต่าง ๆ ที่ไม่ได้ "เปิด" และมักถูกวิพากษ์วิจารณ์ในช่วงกลางของนักวิจัยด้านความปลอดภัย
สำหรับ Linus Henze การตัดจะเต็มอย่างเห็นได้ชัดและผู้เชี่ยวชาญดูเหมือนจะไม่ทำงานฟรีสำหรับ Apple อีกต่อไป ตามzdnetทีมรักษาความปลอดภัยคอมพิวเตอร์ของผู้ผลิตชาวอเมริกันได้ติดต่อเขาเพื่อมีรายละเอียดเกี่ยวกับข้อบกพร่องด้านความปลอดภัย แต่เขายังคงยืนกราน: ไม่มีข้อมูลตราบใดที่ไม่มีโปรแกรมรางวัลอย่างเป็นทางการ"ทั้งหมดนี้สามารถให้ความประทับใจที่ฉันเพิ่งทำเพื่อเงิน แต่นั่นไม่ใช่กรณีทั้งหมด แรงจูงใจของฉันคือการกระตุ้นให้ Apple สร้างโปรแกรมของBug Bounty- ฉันคิดว่านี่เป็นทางออกที่ดีที่สุดสำหรับ Apple และนักวิจัยด้านความปลอดภัย ฉันรักผลิตภัณฑ์ Apple และฉันต้องการปรับปรุงความปลอดภัยของพวกเขา”เขาอธิบายให้zdnet-
ในขณะที่รอให้ความขัดแย้งนี้ได้รับการแก้ไข แต่ก็หวังว่าโจรสลัดจะไม่พบวิธีการใช้ประโยชน์จากข้อบกพร่องนี้ ในกรณีนี้ทุกคนจะเป็นผู้แพ้ เพื่อป้องกันตัวเองเล็กน้อยทางออกเดียวดูเหมือนจะล็อคด้วยมือไฟล์ที่เปิดโดยค่าเริ่มต้นคือ "เซสชัน" และ "องค์ประกอบท้องถิ่น" หรือกำหนดค่าการล็อคอัตโนมัติจากระยะหนึ่ง แต่มันมีผลผูกพันในแง่ของการใช้งานเพราะจำเป็นต้องแจ้งรหัสผ่านหลักในแต่ละครั้งที่ผู้ใช้ต้องการเชื่อมต่อที่ไหนสักแห่ง
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
