Linuz Henze, chercheur en sécurité, a partagé son Twitter vidéo démontrant une faille de sécurité dans le système d'exploitation macOS. Le bug mentionné permet d'accéder aux mots de passe stockés dans le trousseau, notamment aux éléments des catégories Connexion et système.
Henze a également commenté le programme de bug bounty géré par Apple. Selon ses propres mots, il est frustré que le programme se spécialise exclusivement dans le système d'exploitation iOS et ne se concentre pas sur macOS. Pour protester contre la manière dont Apple gère les bugs dans ses systèmes et leurs rapports, Henze a décidé de ne pas informer officiellement l'entreprise de ses découvertes.
Henze a déjà réussi à découvrir plus d'un bug dans le système d'exploitation iOS dans le passé, ses propos peuvent donc être considérés comme dignes de confiance et vrais. Il n'est pas nécessaire d'obtenir des privilèges administratifs pour mener l'attaque, et l'accès aux mots de passe dans le trousseau sur Mac peut être obtenu même sur des ordinateurs dont la protection de l'intégrité du système est activée. Cependant, le trousseau iCloud n'est pas affecté par l'erreur car il stocke les mots de passe d'une manière différente. Il est théoriquement possible de se défendre contre l'erreur en sécurisant le trousseau lui-même avec un mot de passe supplémentaire, mais ce n'est pas une option qui serait disponible par défaut, l'ensemble du processus est assez complexe et conduit par conséquent à de nombreuses boîtes de dialogue de vérification pendant le travail sur le Mac.
Source: 9to5Mac
Apple est dans le cul. Vive le nouvel emoji. Un jour, un garçon de 14 ans découvre une erreur brutale dans FaceTime. Maintenant directement au trousseau. On dirait presque qu'il génère des mots de passe, regarde le programme de hachage les encoder, les hacher et obtenir le résultat.
Qu’en est-il de la sécurité, d’autant plus que nous avons un emoji politiquement correct et un drapeau arc-en-ciel imprimé sur le site d’Apple le bon jour. C'est la priorité maintenant !