今天向公众发布的 macOS High Sierra 可能会受到一个重大安全漏洞的影响，这个漏洞可能会让黑客窃取存储在 Keychain 中账户的用户名和密码。事实证明，macOS High Sierra（可能还有早期版本的 macOS）的未签名应用可以访问 Keychain 信息，并在没有用户主密码的情况下显示明文的用户名和密码。安全研究人员和前美国国家安全局分析师 Patrick Wardle 今天早上 在twitter 上分享了这一漏洞，并分享了这一漏洞的视频。

在 High Sierra（未签名）应用程序中，可以通过编程来转储用户密码。

要想让这种漏洞发挥作用，用户需要从一个未知来源下载恶意第三方代码。苹果对应用程序在 Mac App Store 之外或不受信任的开发者处下载予以了强烈的反对警告。

事实上，苹果甚至不允许非信任的开发者的应用在没有明确覆盖安全设置的情况下被下载。

正如网上视频所展示的那样，Wardle 创建了一个概念验证的应用程序，叫做“keychainStealer”，能够访问 Twitter、Facebook 和美国银行的钥匙链中存储的纯文本密码。

Wardle 在福布斯杂志上谈到了这一漏洞，他说，即使在苹果的保护措施下，在 Mac 上运行恶意代码也并不难。

Wardle 在志采访时还表示：“并不需要 root 用户特权，如果用户登录了，我就可以转储并过滤掉密钥链，包括明文密码。通常情况下，你不应该通过编程来做到这一点。”

他补充说：“我们今天看到的大多数攻击都涉及到社交账户管理，而且似乎成功地针对 Mac 用户。”

“我不会说 keychain 的开发是无用的——但恶意攻击能完成工作，不需要 root 用户，而且成功率达到 100%。”

Wardle 还没有为恶意实体提供完整的漏洞，他相信苹果会在未来的更新中修复这一问题。

Steal y0 (macOS) Keychain on Vimeo

由于 Wardle 没有公布完整的漏洞代码，外界无法对此进行验证，也没有别的相似消息来源进行比对，所以关于这个漏洞的完整细节还不为人所知。

苹果尚未回应记者就其系统潜在危险性发表评论的请求。

[via：MacRumors]