macOS Keychain பாதுகாப்பு குறைபாடு ஆராய்ச்சியாளரால் கண்டுபிடிக்கப்பட்டது, ஆனால் விவரங்கள் ஆப்பிளுடன் பக் பவுண்டி எதிர்ப்புப் பற்றி பகிரப்படவில்லை

ஜெர்மன் பாதுகாப்பு ஆய்வாளர் Linus Henze இந்த வாரம் 'KeySteal' என அழைக்கப்படும் புதிய பூஜ்ஜிய-நாள் மேகோஸ் பாதிப்பைக் கண்டுபிடித்தார், இது கீழே உள்ள வீடியோவில் காட்டப்பட்டுள்ளபடி, Keychain பயன்பாட்டில் சேமிக்கப்பட்டுள்ள அனைத்து முக்கியமான தரவுகளையும் பெற பயன்படுத்தலாம்.

நிர்வாகி அணுகல் அல்லது நிர்வாகி கடவுச்சொல் தேவையில்லாமல் Mac இன் Keychain பயன்பாட்டிலிருந்து தரவைப் பிரித்தெடுக்க Henze தீங்கிழைக்கும் பயன்பாட்டைப் பயன்படுத்துவதாகத் தெரிகிறது. இது Keychain இலிருந்து கடவுச்சொற்கள் மற்றும் பிற தகவல்களைப் பெறலாம், அத்துடன் மற்ற macOS பயனர்களுக்கான கடவுச்சொற்கள் மற்றும் விவரங்களைப் பெறலாம்.

ஐபோன் வெளியீட்டு தேதிக்கான விலங்கு கடக்குதல்

Henze இந்த சுரண்டலின் விவரங்களை ஆப்பிளுடன் பகிர்ந்து கொள்ளவில்லை, மேலும் MacOS க்கு ஆப்பிளிடம் பிழை பவுண்டி புரோகிராம் இல்லை என்பதால் அதை வெளியிட மாட்டேன் என்று கூறுகிறார். 'எனவே அவர்களைக் குறை கூறுங்கள்' என்று ஹென்ஸே வீடியோவின் விளக்கத்தில் எழுதுகிறார். ஒரு அறிக்கையில் ஃபோர்ப்ஸ் , ஹென்ஸ் தனது நிலைப்பாட்டை தெளிவுபடுத்தினார், மேலும் பாதிப்புகளைக் கண்டறிய நேரம் எடுக்கும் என்று கூறினார்.

'இது போன்ற பாதிப்புகளைக் கண்டறிவதற்கு நேரம் எடுக்கும், மேலும் ஆப்பிளின் தயாரிப்பை மிகவும் பாதுகாப்பானதாக மாற்றுவதற்கு நாங்கள் உதவுவதால், ஆராய்ச்சியாளர்களுக்கு பணம் செலுத்துவது சரியானது என்று நான் நினைக்கிறேன்.'

ஆப்பிள் iOS க்கான வெகுமதி திட்டத்தைக் கொண்டுள்ளது, இது பிழைகளைக் கண்டறிபவர்களுக்கு பணத்தை வழங்குகிறது, ஆனால் MacOS பிழைகளுக்கு இதே போன்ற கட்டண முறை இல்லை.

ஜெர்மன் தளத்தின் படி ஹெய்ஸ் ஆன்லைன் , இது ஹென்ஸிடம் பேசியது, சுரண்டல் Mac Keychain உருப்படிகளை அணுக அனுமதிக்கிறது ஆனால் iCloud இல் சேமிக்கப்பட்ட தகவலை அல்ல. கீசெயினும் திறக்கப்பட வேண்டும், இது ஒரு பயனர் Mac இல் தங்கள் கணக்கில் உள்நுழையும்போது இயல்பாக நடக்கும்.

Keychain பயன்பாட்டைத் திறப்பதன் மூலம் Keychain ஐப் பூட்டலாம், ஆனால் ஒரு பயன்பாட்டிற்கு Keychain ஐ அணுக வேண்டிய போதெல்லாம் நிர்வாக கடவுச்சொல்லை உள்ளிட வேண்டும், இது சிரமமாக இருக்கும்.

ஆப்பிளின் பாதுகாப்புக் குழு ஹென்ஸை அடைந்துள்ளது ZDNet , ஆனால் MacOS க்கு ஒரு பிழை பவுண்டி திட்டத்தை வழங்கும் வரை கூடுதல் விவரங்களை வழங்க அவர் தொடர்ந்து மறுத்து வருகிறார். 'பணத்துக்காக நான் இதைச் செய்வது போல் தோன்றினாலும், இந்த விஷயத்தில் இது என்னுடைய உந்துதல் அல்ல' என்று ஹென்ஸே கூறினார். 'பக் பவுண்டி திட்டத்தை உருவாக்க ஆப்பிள் நிறுவனத்தைப் பெறுவதே எனது உந்துதல். இது ஆப்பிள் மற்றும் ஆராய்ச்சியாளர்கள் இருவருக்கும் சிறந்தது என்று நான் நினைக்கிறேன்.

இது MacOS இல் கண்டுபிடிக்கப்பட்ட முதல் Keychain தொடர்பான பாதிப்பு அல்ல. பாதுகாப்பு ஆய்வாளர் பேட்ரிக் வார்டில் 2017 ஆம் ஆண்டில் இதேபோன்ற பாதிப்பை டெமோ செய்தார், இது இணைக்கப்பட்டுள்ளது.