Dwóch badaczy (Antoine Vincent Jebara oraz Raja Rahbani) zajmujących się oprogramowaniem myki przeznaczonym do zarządzania tożsamością odkryło bardzo poważny błąd we wszystkich aktualnie wspieranych wersjach systemu OS X. Błąd ten umożliwia zdalne przechwycenie zapisanych haseł i nie wymaga niemal żadnej aktywności ze strony użytkownika. Aplikacja w systemie OS X może zażądać dostępu do kluczy kryptograficznych i sama sobie udzielić zgody przez zasymulowane kliknięcie przycisku w oknie żądania zgody na dostęp. Komendy związane z udzielaniem zgody mogą być wydane przez złośliwe oprogramowanie zaszyte w aplikacji lub jako dodatek związany z wyświetlaniem wideo. Cały proces trwa krócej niż sekundę i jak podają badacze, może omijać większość zabezpieczeń. Badacze w liście otwartym do CSO piszą:

„Podatność jest ekstremalnie krytyczna. Umożliwia każdemu przechwycenie wszystkich twoich haseł w sposób zdalny poprzez pobranie pliku, który nie wydaje się złośliwy i nie może być sklasyfikowany jako taki przez detektory malware’u – gdyż nie wykazuje typowych dla malware’u zachowań. Istnieje kilka możliwych do wykorzystania wektorów ataku, wliczając wysłanie pliku pocztą elektroniczną, wyświetlenie w przeglądarce albo atak peer-to-peer”.

Oto demonstracja ataku tą drogą:

Badacze poinformowali Apple, ale nie uzyskali żadnej odpowiedzi. Apple nie wydało żadnej łaty usuwającej daną podatność.

Tymczasem jak podaje Dan Goodin z serwisu arstechnica.com, włamywacze korzystają z tej techniki już od ponad czterech lat – w analizowanym fragmencie kodu odpowiedzialnego za wyświetlanie reklam. Technika penetracji łańcucha kluczy była po raz pierwszy wykorzystywana w 2011r. przez malware o nazwie KeyRobber. Złośliwe oprogramowanie zwróciło na siebie uwagę różnych badaczy, gdyż przejmowało kontrolę nad akceleratorami GPU w celu uruchamiania procesów mających na celu wyliczanie wirtualnej waluty bitcoin. KeyRobber wykorzystywał tę lukę za pomocą sprytnego użycia języka skryptowego AppleScript.

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Badacze z firmy Malwarebytes potwierdzili, że technika stosowana jeszcze w 2011r. jest skuteczna do dziś jeśli tylko użytkownik wcześniej pozwolił danej aplikacji (może być nią przeglądarka lub odtwarzacz wideo) na użycie skryptów. Ze względu na wygodę działania, użytkownicy niemal we wszystkich przypadkach takiej zgody udzielili.
Tę samą technikę wykorzystywał instalator Genieo – oprogramowania wyświetlającego spam reklamowy bez zgody użytkownika za pomocą manipulacji listami rozszerzeń przeglądarki Safari, również zabezpieczanej za pomocą systemowego narzędzia Keychain.