包括High Sierra等macOS的Keychain遭爆有漏洞，臉書、app密碼可被看光光

新一代macOS作業系統High Sierra預定今(26)日才要正式開放下載，不過有研究人員發現指出，High Sierra及早前的macOS的Keychain功能出現漏洞，可讓駭客以明碼取得各項app的密碼。 

Keychain是可存放Mac電腦中各app及網站密碼的地方，需要有主密碼以登入存取。但前國安局駭客，現為資安公司Synack首席研究員Patrick Wardle在推特貼出的一段影片，他利用製作的概念驗證app KeychainStealer，示範密碼竊取攻擊。

在影片中，只要使用者以網路下載未簽章的應用程式，駭客就能在遠端伺服器上執行常見的網路測試工具Netcat藉此取得使用者電腦中的臉書、推特以及網路銀行密碼，過程中不需使用者做什麼事，而且app或macOS也都完全沒有發出任何告警或要求許可。 

Wardle指出，其實除了High Sierra，任何版本macOS都有這項漏洞。事實上，去年7月就曾經爆發過這項漏洞，可使Keychain所有密碼以明文顯示，連mac OS X 10.10、10.11.5都未能倖免於難。 

Wardle表示，他本月稍早即通知蘋果，但覺得蘋果還沒修補好High Sierra這項漏洞就要開放大眾下載，因此決定提早爆料。他也對macOS的安全性感到失望。 

蘋果對媒體發表聲明，macOS上的安全檢查功能Gatekeeper會在使用者安裝未簽章的app時發出警告，以及禁止app在未經用戶同意前啟動。蘋果也呼籲用戶不要從不明的第三方軟體市集下載軟體，並確實留意macOS發出的安全通知。