جرمن سیکیورٹی محقق لینس ہینز نے اس ہفتے 'کی اسٹیل' کے نام سے ایک نیا صفر دن کی میک او ایس کمزوری دریافت کی ہے، جسے نیچے دی گئی ویڈیو میں دکھایا گیا ہے، کیچین ایپ میں محفوظ تمام حساس ڈیٹا کو حاصل کرنے کے لیے استعمال کیا جا سکتا ہے۔
ایسا لگتا ہے کہ ہینز ایڈمنسٹریٹر تک رسائی یا ایڈمنسٹریٹر پاس ورڈ کی ضرورت کے بغیر میک کی کیچین ایپ سے ڈیٹا نکالنے کے لیے ایک بدنیتی پر مبنی ایپ استعمال کرتی ہے۔ یہ Keychain سے پاس ورڈز اور دیگر معلومات کے ساتھ ساتھ دوسرے macOS صارفین کے لیے پاس ورڈ اور تفصیلات حاصل کر سکتا ہے۔
imessage پر اسٹیکرز کیسے شامل کریں۔
ہینز نے ایپل کے ساتھ اس کارنامے کی تفصیلات شیئر نہیں کیں اور کہا کہ وہ اسے جاری نہیں کرے گا کیونکہ ایپل نے میک او ایس کے لیے کوئی بگ باؤنٹی پروگرام دستیاب نہیں ہے۔ 'تو ان پر الزام لگائیں،' ہینز نے ویڈیو کی تفصیل میں لکھا۔ کو ایک بیان میں فوربس ، ہینز نے اپنی پوزیشن واضح کی، اور کہا کہ کمزوریوں کو دریافت کرنے میں وقت لگتا ہے۔
'اس طرح کی کمزوریوں کو تلاش کرنے میں وقت لگتا ہے، اور میں صرف یہ سمجھتا ہوں کہ محققین کو ادائیگی کرنا صحیح کام ہے کیونکہ ہم ایپل کو ان کی مصنوعات کو مزید محفوظ بنانے میں مدد کر رہے ہیں۔'
ایپل کے پاس iOS کے لیے ایک انعامی پروگرام ہے جو ان لوگوں کو رقم فراہم کرتا ہے جو کیڑے دریافت کرتے ہیں، لیکن میکوس کیڑے کے لیے اس جیسا کوئی ادائیگی کا نظام موجود نہیں ہے۔
جرمن سائٹ کے مطابق Heise آن لائن جس نے Henze سے بات کی، استحصال میک کیچین اشیاء تک رسائی کی اجازت دیتا ہے لیکن iCloud میں محفوظ کردہ معلومات کی نہیں۔ کیچین کو غیر مقفل کرنے کی بھی ضرورت ہوتی ہے، ایسا کچھ جو پہلے سے طے شدہ طور پر ہوتا ہے جب صارف میک پر اپنے اکاؤنٹ میں لاگ ان ہوتا ہے۔
کیچین ایپ کو کھول کر کیچین کو لاک کیا جا سکتا ہے، لیکن جب بھی کسی ایپلیکیشن کو کیچین تک رسائی کی ضرورت ہو تو ایک ایڈمن پاس ورڈ درج کرنا پڑتا ہے، جو تکلیف دہ ہو سکتا ہے۔
ایپل کی سیکیورٹی ٹیم ہینزے تک پہنچ گئی ہے۔ زیڈ ڈی نیٹ ، لیکن اس نے اضافی تفصیل فراہم کرنے سے انکار جاری رکھا ہے جب تک کہ وہ macOS کے لیے بگ باؤنٹی پروگرام فراہم نہ کریں۔ 'یہاں تک کہ اگر ایسا لگتا ہے کہ میں یہ صرف پیسوں کے لیے کر رہا ہوں، اس معاملے میں یہ میرا محرک نہیں ہے،' ہینزے نے کہا۔ 'میرا محرک ایپل کو بگ باؤنٹی پروگرام بنانے کے لیے حاصل کرنا ہے۔ مجھے لگتا ہے کہ یہ ایپل اور محققین دونوں کے لیے بہترین ہے۔'
یہ macOS میں دریافت ہونے والی پہلی کیچین سے متعلق کمزوری نہیں ہے۔ سیکیورٹی محقق پیٹرک وارڈل نے 2017 میں اسی طرح کے خطرے کو ظاہر کیا، جس پر پیچ کیا گیا ہے۔
مقبول خطوط