Breaking News

นักวิจัยพบช่องโหว่ Zero-day บน macOS

Linus Henze นักวิจัยด้านความมั่นคงปลอดภัยได้เผยถึงช่องโหว่ Zero-day บน macOS Mojave (10.14) ที่สามารถเข้าไปขโมยรหัสผ่านที่เก็บไว้ใน Keychain หรือตัวบริหารจัดการรหัสผ่านของ macOS (ทุกเวอร์ชัน) ได้ อย่างไรก็ตามนักวิจัยไม่ยอมเผยถึงรายละเอียดกับ Apple เพราะอยากให้มี Bug Bounty ของ macOS ขึ้นมาก่อน ทั้งนี้นักวิจัยได้โพสต์วิธีการใช้งานบน Youtube ด้วย

credit : Apple.com

โดยปกติแล้ว Keychain จะมีการป้องกันไม่ให้แอปอื่นเข้าถึงได้โดยไม่มีการอนุญาตแต่ช่องโหว่ Zero-day ที่ Henze เผยนั้นจะทำให้แอปพลิเคชันจาก Third-party สามารถเข้าถึงรหัสผ่านและข้อมูลอื่นๆ ที่เก็บอยู่ใน Keychain ได้โดยไม่ต้องใช้สิทธิ์ของผู้ดูแล อย่างไรก็ตามทางทีมงาน Apple ได้ติดต่อเข้าหานักวิจัยรายนี้เพื่อขอรายละเอียดแล้วแต่ก็ถูกปฏิเสธไปเพราะว่าทางนักวิจัยอยากให้ Apple เปิดโครงการ Bug Bounty ของ macOS ขึ้นมาก่อนโดยกล่าวว่า “เหมือนผมจะทำเพื่อเงินสินะ แต่ไม่ใช่เลยในกรณีนี้ ผมแค่อยากให้ Apple สร้างโปรแกรมล่าบั้กขึ้นมาซึ่งจะเป็นผลดีต่อบริษัทและนักวิจัยรายอื่นๆ ด้วย ผมเป็นแฟนตัวยงของ Apple นะและอยากทำให้ผลิตภัณฑ์มั่นคงปลอดภัยกว่านี้แต่ผมคิดว่าทางที่ดีที่สุดคือต้องมีโปรแกรมล่าบั้กขึ้นมา

ผู้สนใจสามารถชมวีดีโอสาธิตการใช้งานช่องโหว่ Zero-day ได้ตามด้านล่าง

https://youtu.be/nYTBZ9iPqsU

ที่มา : https://www.zdnet.com/article/new-macos-zero-day-allows-theft-of-user-passwords/ และ https://www.bleepingcomputer.com/news/security/researcher-declines-to-share-zero-day-macos-keychain-exploit-with-apple/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] พีทีที ดิจิตอล จัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยทางไซเบอร์

กรุงเทพฯ ประเทศไทย – 3 ส.ค. 2563 :  วันนี้ ไอบีเอ็ม ซิเคียวริตี้ ประกาศว่า บริษัท พีทีที ดิจิตอล โซลูชั่น …

Cisco เข้าซื้อกิจการ Modcam ยกระดับฟีเจอร์ Video Analytics ให้ Cisco Meraki

Cisco ประกาศควบรวมกิจการ Modcam ผู้ให้บริการด้าน Video Analytics จากสวีเดน เพื่อนำความเชี่ยวชาญด้าน Machine Learning, Computer Vision และ Cloud-managed Cameras …