本週，德國安全研究人員Linus Henze發現了蘋果macOS中一個被稱作“KeySteal”的零日漏洞，並在YouTube上公佈了一段視頻演示。對於別有用心的攻擊者來說，可藉助惡意手段從Mac上的Keychain應用程序來收集全部的敏感信息，而無需管理員訪問權限（或管理員密碼）。

Keychain 會暴露密碼和其它信息，以及其它macOS 用戶的密碼詳情。

鑑於蘋果沒有針對macOS的漏洞賞金計劃，Henze尚未選擇向蘋果分享漏洞詳情，但表示不會輕易將細節公佈。其在描述中寫到——“全都怪蘋果！”（So blame them.）

他在接受《福布斯》採訪時稱，查找漏洞費心費力，​​向研究者支付酬勞是天經地義的，因為我們在幫助蘋果公司的產品變得更加安全。

據悉，蘋果有一個針對iOS 移動平台的獎勵計劃，為發現bug 的人們提供賞金。遺憾的是，對於桌面平台的macOS 系統，蘋果並沒有類似的除蟲獎勵。

德國Heise Online稱，該漏洞允許訪問Mac上Keychain的內容，但不能訪問存儲在iCloud中的信息。

Keychain 也需要被解鎖，當用戶在Mac 上登錄他們的帳戶時，即會在默認情況下會發生。如需為Keychain 應用加鎖，可以通過管理員密碼來打開該App，然後執行相關操作。

ZDNet 指出，蘋果安全團隊已經同Henze 取得了聯繫，但後者拒絕提供更多細節，除非蘋果為macOS 平台提供類似iOS 的除蟲獎勵。

KeySteal – Stealing your keychain passwords on macOS Mojave（via）

Henze 辯解道：“我這麼做並不是掉進了錢眼裡，這點動機並不足以促使我這麼做。我是希望蘋果創建一個macOS 賞金計劃，這對該公司和研究人員來說都是一件好事”。

其實，這不是macOS 中發現的首個與Keychain 相關的漏洞。此前，安全研究員Patrick Wardle 也在2017 年演示了一個類似的漏洞（已被修復）。

[編譯自：MacRumors ]