苹果 电脑 macOS 系统内置功能之一的密码管理工具「Keychain」怀疑出现保安漏洞,有保安研究者用视频示范能够盗去电脑内所有密码。不过该研究者以特别理由,目前仍未向 苹果 报告这个漏洞。
该名德国保安研究学者 Linus Henze 在 YouTube 上发布了一段视频,指他可透过特别手法,偷去安装有 macOS Mojave 10.14.3 作业系统的 苹果 电脑上 Keychain 内储存的密码。在视频中他使用了一款名为「KeySteal」的赢咖4平台。
macOS Mojave 的「Keychain」功能储存有用户互联网服务帐户的密码,原本用户需要输入电脑主密码,才能显示这些密码资讯。然而研究员使用了特殊工具后,这些密码未经保护就能直接显示出来。
据报 Lunis Henze 本人现时仍未向 苹果 报告有关漏洞,该研究员指目前 苹果 有对回报 iOS 漏洞的研究员发放奖金的制度,但就未有对 macOS 漏洞报告者发出奖金,希望 苹果 能够正视此问题。
