В macOS обнаружен баг, позволяющий похищать данные посредством функции для создания скриншотов - «Новости»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Новости мира Интернет » Новости » В macOS обнаружен баг, позволяющий похищать данные посредством функции для создания скриншотов - «Новости»

Основатель компании Fastlane Tools Феликс Краузе (Felix Krause) обнаружил, что практически любое приложение в системе (неважно, находится ли оно в песочнице или нет) может шпионить за пользователем, используя для этого легитимную функциональность macOS.


Краузе описал проблему в своем личном блоге и предупредил, что патча для нее пока нет, хотя эксперт уведомил инженеров Apple о своей находке еще в ноябре 2017 года. Теперь специалист решил раскрыть данные публично, а также заполнил соответственный баг-репорт.


Проблема заключается в использовании функции CGWindowListCreateImage, которая часто применяется приложениями для снятия скриншотов или захвата происходящего на экране устройства. Дело в том, что специального разрешения пользователя для этого не требуется, а вредоносное приложение может работать в фоновом режиме или находиться в песочнице, но при этом все равно иметь доступ буквально к каждому пикселю.




Исследователь поясняет, что в сочетании с оптическим распознаванием символов (Optical character recognition, OCR) злоумышленник может «читать» информацию на мониторе своей цели. Так, преступник может успешно перехватить такую информацию, как пароли и различные ключи из парольных менеджеров; получить доступ к конфиденциальным исходным кодам и ключам API; прочитать электронные письма и сообщения, которые просматривает пользователь; узнать, какими веб-сервисами и приложениями пользуется жертва, и так далее.

Краузе предлагает разработчикам Apple возможные варианты решения проблемы. К примеру, можно сделать обязательным запрос разрешения пользователя перед активацией функции CGWindowListCreateImage, а также уведомлять пользователя о том, что приложение делает снимки экрана.


Источник новостиgoogle.com

Основатель компании Fastlane Tools Феликс Краузе (Felix Krause) обнаружил, что практически любое приложение в системе (неважно, находится ли оно в песочнице или нет) может шпионить за пользователем, используя для этого легитимную функциональность macOS. Краузе описал проблему в своем личном блоге и предупредил, что патча для нее пока нет, хотя эксперт уведомил инженеров Apple о своей находке еще в ноябре 2017 года. Теперь специалист решил раскрыть данные публично, а также заполнил соответственный баг-репорт. Проблема заключается в использовании функции CGWindowListCreateImage, которая часто применяется приложениями для снятия скриншотов или захвата происходящего на экране устройства. Дело в том, что специального разрешения пользователя для этого не требуется, а вредоносное приложение может работать в фоновом режиме или находиться в песочнице, но при этом все равно иметь доступ буквально к каждому пикселю. Исследователь поясняет, что в сочетании с оптическим распознаванием символов (Optical character recognition, OCR) злоумышленник может «читать» информацию на мониторе своей цели. Так, преступник может успешно перехватить такую информацию, как пароли и различные ключи из парольных менеджеров; получить доступ к конфиденциальным исходным кодам и ключам API; прочитать электронные письма и сообщения, которые просматривает пользователь; узнать, какими веб-сервисами и приложениями пользуется жертва, и так далее. Краузе предлагает разработчикам Apple возможные варианты решения проблемы. К примеру, можно сделать обязательным запрос разрешения пользователя перед активацией функции CGWindowListCreateImage, а также уведомлять пользователя о том, что приложение делает снимки экрана. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))