安全研究人员 Patrick Wardle 在 macOS 中发现了重大安全漏洞,这个漏洞允许任意应用,无论是签名或者是未签名的,从钥匙串中提取明文密码。Wardle 还在视频中演示了这一系列操作。这次发现的安全漏洞情况比较严重,因为钥匙串的数据是经过256位 AES 加密的,也就是很难将其破解。
这次的 bug 影响所有版本的 macOS,包括刚发布的 High Sierra。
正常情况下,应该只有申请访问的应用可以解谜密码,但这个 bug 可以让任意应用提取和解谜所有储存的密码,而且不需要用户参与。Wardle 在本月7日已经将 Bug 递交给苹果,苹果可能会在不久之后推出修复升级。