जर्मन सुरक्षा शोधकर्ता लिनुस हेन्ज़ ने इस सप्ताह एक नया शून्य-दिन macOS भेद्यता की खोज की, जिसे 'कीस्टील' कहा गया, जिसे नीचे दिए गए वीडियो में दिखाया गया है, जिसका उपयोग किचेन ऐप में संग्रहीत सभी संवेदनशील डेटा को प्राप्त करने के लिए किया जा सकता है।
ऐसा प्रतीत होता है कि हेन्ज़ मैक के किचेन ऐप से बिना एडमिनिस्ट्रेटर एक्सेस या एडमिनिस्ट्रेटर पासवर्ड की आवश्यकता के डेटा निकालने के लिए एक दुर्भावनापूर्ण ऐप का उपयोग करता है। यह किचेन से पासवर्ड और अन्य जानकारी प्राप्त कर सकता है, साथ ही अन्य macOS उपयोगकर्ताओं के लिए पासवर्ड और विवरण भी प्राप्त कर सकता है।
दोस्त के लिए फाइंड माई फोन का उपयोग कैसे करें
हेन्ज़ ने इस कारनामे का विवरण Apple के साथ साझा नहीं किया है और कहता है कि वह इसे जारी नहीं करेगा क्योंकि Apple के पास macOS के लिए कोई बग बाउंटी प्रोग्राम उपलब्ध नहीं है। 'तो उन्हें दोष दें,' हेन्ज़ वीडियो के विवरण में लिखते हैं। करने के लिए एक बयान में फोर्ब्स , हेन्ज़ ने अपनी स्थिति स्पष्ट की, और कहा कि कमजोरियों का पता लगाने में समय लगता है।
'इस तरह की कमजोरियों को खोजने में समय लगता है, और मुझे लगता है कि शोधकर्ताओं को भुगतान करना सही काम है क्योंकि हम Apple को उनके उत्पाद को अधिक सुरक्षित बनाने में मदद कर रहे हैं।'
ऐप्पल के पास आईओएस के लिए एक इनाम कार्यक्रम है जो बग खोजने वालों को पैसे प्रदान करता है, लेकिन मैकोज़ बग के लिए कोई समान भुगतान प्रणाली नहीं है।
जर्मन साइट के अनुसार हाइज़ ऑनलाइन , जिसने हेन्ज़ से बात की, शोषण मैक किचेन आइटम तक पहुंच की अनुमति देता है लेकिन iCloud में संग्रहीत जानकारी नहीं। किचेन को अनलॉक करने की भी आवश्यकता होती है, कुछ ऐसा जो डिफ़ॉल्ट रूप से तब होता है जब कोई उपयोगकर्ता मैक पर अपने खाते में लॉग इन करता है।
कीचेन ऐप को खोलकर कीचेन को लॉक किया जा सकता है, लेकिन जब भी किसी एप्लिकेशन को किचेन तक पहुंचने की आवश्यकता होती है, तो एक एडमिन पासवर्ड दर्ज करना पड़ता है, जो असुविधाजनक हो सकता है।
एप्पल की सुरक्षा टीम के अनुसार, हेन्ज़ तक पहुंच गया है जेडडीनेट , लेकिन उन्होंने तब तक अतिरिक्त विवरण प्रदान करने से इनकार करना जारी रखा है जब तक कि वे macOS के लिए बग बाउंटी प्रोग्राम प्रदान नहीं करते हैं। हेन्ज़ ने कहा, 'यहां तक कि अगर ऐसा लगता है कि मैं इसे सिर्फ पैसे के लिए कर रहा हूं, तो इस मामले में यह मेरी प्रेरणा नहीं है। 'मेरी प्रेरणा ऐप्पल को बग बाउंटी प्रोग्राम बनाने के लिए है। मुझे लगता है कि यह ऐप्पल और शोधकर्ताओं दोनों के लिए सबसे अच्छा है।'
यह macOS में खोजी गई पहली किचेन-संबंधी भेद्यता नहीं है। सुरक्षा शोधकर्ता पैट्रिक वार्डले ने 2017 में इसी तरह की भेद्यता का प्रदर्शन किया, जिसे पैच कर दिया गया है।
लोकप्रिय पोस्ट