研究人员在OS X系统中发现了新的keychain漏洞

研究人员在OS X系统中发现了新的keychain漏洞
 

  Antoine Vincent Jebara和Raja Rahbani是MyKi公司的联合创始人,同时也是该公司的首席工程师。他们在苹果设备的密码管理系统中发现了一个漏洞,如果攻击者成功地利用了这个漏洞,那么他们就可以窃取用户存储在苹果设备中的证书数据了。

  Jebara和Rahbani会在他们自己的产品中使用到苹果的密码管理系统,他们发现,如果对终端命令代码进行了特殊设计之后,他们就可以在不需要任何用户交互的情况下让Keychain显示出密码。

  这段终端命令的功能十分的强大,在这段终端命令执行之后,系统不会直接请求得到用户的Keychain密码,Keychain会让用户去点击一个“允许”按钮。在得到这一研究成果之后,这两位研究人员决定将他们的理论进一步扩展,并且开发出了一套能够利用这个漏洞的概念验证模型,在这个PoC中,系统会出发这条终端命令,然后模拟用户操作鼠标,然后去点击那个“允许”按钮。

  整个过程耗时不会超过200毫秒,而且一切就发生在用户的眼皮底下,但是由于时间太短,用户是无法感知到的。

  Jebara在一封电子邮件中说到:“这个“允许”按钮将会出现在屏幕的右下方。我们发现,唯一一个可能会影响这个按钮出现位置的因素就是dock栏的大小,所以为了让用户成功按下“允许”按钮,我们还制作了一个命令来让dock栏隐藏500毫秒。”

  在用户点击了“允许”按钮之后,密码就会被截获,并且被截获的密码将会通过SMS信息发送至攻击者的手机。然而,SMS可以被任何一个信息发送系统来代替,包括C&C服务器,或者也可以直接存储在本地。

  攻击代码可以使用任何东西进行封装,而且攻击代码也需要被触发。研究人员使用了一张图片来触发这段攻击代码。

  当这张图片显示出来之后,用户就无法注意到剩下的攻击活动了,因为整个攻击的过程是非常迅速的。由于攻击代码是被封装在一个正常的文件之中的,而且这段代码本身也是合法的终端命令,安全产品很可能会忽略这次攻击,因为从杀毒软件的角度出发,它们会认为这些文件和命令并不会对计算机系统造成任何的伤害。

  Jebara说到:“针对这个漏洞的修复补丁将会修改Keychain对攻击命令的响应方式,并且会在用户进行操作的时候提示输入密码。”他补充说到,另一种选择就是停止使用Keychain,但这是非常困难的,因为OS X系统的正常运行是十分依赖于这个功能的。

  这个漏洞的详细信息已经被报告给了苹果公司,但是Jebara和Rahbani都没有收到苹果公司的回应。

  在这篇文章发表的时候,苹果公司还没有就此事件作出任何的评论。

  Jebara在另一封电子邮件中解释称:“我们将这个漏洞的信息公布了出来,因为这个漏洞将有可能造成灾难性的后果(在苹果公司解决这一问题之前,你不可能在运行第三方软件的同时,还可以避免丢失你隐私数据),所以我们感觉到这是一个正确的选择。”

  Jebara说到:“这个漏洞是非常严重的。它允许任何人通过一个看起来不是恶意文件的东西远程地窃取你所有的密码,而且恶意软件检测工具还无法检测到这种恶意文件,因为这些文件和传统的恶意文件并不完全相同。”

  更新:

  有一名读者问到,这个漏洞是否会同时影响iOS系统和OS X系统。Jebara说到,如果用户选择使用iCloud Keychain,那么攻击者就可以利用这个漏洞,提取出所有保存在iOS设备上的密码。但是,这个漏洞只能在OS X设备上被利用,这也就意味着只有Mac用户会受到这个漏洞的影响。

  至于攻击方法,Jebara给大家做了下列解释:

  直接攻击:攻击者可以直接向目标用户通过电子邮件等方式发送恶意文件;

  P2P攻击:攻击者可以将有效载荷嵌入至一个种子文件中进行传播;

  Website Post:将恶意文件伪装成一篇有趣的文章,然后通过社交媒体来进行传播;

原文地址:https://news.77169.com/HTML/20150904142638.shtm

0

发表评论

// 360自动收录 // 360自动收录