苹果 macOS High Sierra 正式版已在 25 日开放下载,但在释出前几个小时,国外媒体纷纷报导资安研究员发现 macOS 存在零日漏洞,不法骇客可借机窃取用户资料。
曾入侵 NSA(National Security Agency,美国国家安全局)的骇客、现为资安公司 Synack 研究员的 Patrick Wardle,日前发现苹果 macOS 密码管理功能 Keychain(钥匙圈)的零日漏洞(Zero-day exploit)。
Keychain 自 macOS 8.6 及后续版本就被汇入到核准的苹果装置,包含密码、私钥、电子凭证等多种类型的数据资料。Patrick Wardle 创造一款名为“KeychainStealer”的验证程式,藉以示范透过该漏洞窃取 Keychain 里储存网站或服务的密码及信用卡资讯,如下方影片所示。
Patrick Wardle 已在本月初向苹果回报漏洞,可惜的是在最新发表的 macOS High Sierra 正式版本却未修复。他表示身为一名热情的 Mac 用户,对 macOS 的安全性感到失望,他觉得用户应该要知道哪些使用状况处在危险中。
此外,Patrick Wardle 也建议官方应祭出一套 macOS 的漏洞回报奖励计划,该公司目前仅针对回报 iPhone 与 iPad 的漏洞,提供最高 20 万美元(约台币 60.8 万元)奖金。
苹果透过国外媒体 CNET 回应,macOS 内建的 Gatekeeper 功能预设阻止恶意软件和不当 Apps 从网络下载并发出警告,该公司也呼吁使用者应透过信赖的来源如 Mac App Store 下载 Apps,并留意 macOS 发出的安全通知,但未进一步说明何时修补漏洞。
- Ex-NSA hacker drops macOS High Sierra zero-day hours before launch
- 7 things to know before upgrading to MacOS High Sierra 10.13
(图片来源:苹果官网)
延伸阅读:
- Mac 出现恶意软件,能透过网络摄影机自拍截图
- Mac 用户注意,山寨版更新要抢您的网络流量
