Линус Хенце нашел способ взломать фирменное приложение Apple для хранения паролей — Keychain Access. Для работы с ним нужно иметь права доступа и знать пароль от системы. Но хакер разработал приложение, которое в один клик позволяет получить все сохраненные логины и пароли.
Таким образом можно украсть вообще все пароли, которые хранятся в приложении Keychain, сообщает 9to5mac. Уязвимость есть в последней версии macOS Mojave. Линус не раскрывает подробности взлома, но весь процесс он показал на видео:
Эксперт не делится информацией об уязвимости с Apple осознанно — это протест. Ему не нравится, что компания не платит за обнаруженные ошибки в macOS, а только за уязвимости iOS. Поэтому он сам отказывается сотрудничать и призывает к этому коллег.
В прошлом Линус Хенце уже сообщал об уязвимостях в iOS, поэтому его сообщение о взломе macOS можно воспринимать всерьез.
Для IT-компаний нормальная практика платить за информацию о «дырах» в безопасности продуктов. И за это обычно платят много — от нескольких сотен до сотен тысяч долларов в зависимости от серьезности уязвимости и уровня компании. Но в отношении Apple часто звучат обвинения, что компания платит меньше конкурентов за сообщение о багах.
