首页
学习
活动
专区
工具
TVP
发布

爆料:macOS应用可以在你不知情的情况下截取屏幕来窃取信息

近日有开发者在GitHub上爆料,表示他们发现了一些漏洞,通过这些漏洞,任何macOS上的软件都可以在你不知情的情况下记录或截取你的屏幕,并且目前用户端似乎没有有效的措施可以阻止该漏洞。

如果这是真的那么这将是非常糟糕的体验,因为我们平时工作的区域都是基于屏幕,如果软件可以记录屏幕,这意味着你的电脑几乎等于裸奔,这会导致一下信息有被泄露的风险:

对屏幕截图进行批量OCR识别,获取用户敏感信息。

检测你使用的Web服务(例如电子邮件);

阅读您在Mac上打开的所有电子邮件和消息;

当开发人员成为攻击目标时,攻击者可能会访问敏感的源代码,API密钥或类似数据;

了解有关用户的个人信息,例如他们的银行信息,工资,地址等;

该问题是Fastlane的创始人Felix Krause首先发现的,他们再向macOS的软件中加入了如下代码就成功获取了用户端的屏幕截图:

Felix Krause表示他们目前已经向苹果提交了这个漏洞,目前为止苹果并没有对此进行声明

Felix Krause表示要解决该问题并不难,只要在App Store审核流程中加入验证用于访问屏幕的Sandbox权限或是当应用程序访问屏幕时通知用户该问题就可以得到一定解决。

目前用户并没有办法保护自身的办法。根据BleepingComputer(https://www.bleepingcomputer.com/news/apple/researcher-uses-macos-app-screenshot-feature-to-steal-passwords-tokens-keys/)的消息,Felix Krause在去年年底已经私下向苹果公司报告了这个漏洞,却没得到回应和解决。于是,Felix Krause在上周日,在自己的博客公开了这个漏洞。

参考链接:

https://krausefx.com/blog/mac-privacy-sandboxed-mac-apps-can-take-screenshots

https://www.bleepingcomputer.com/news/apple/researcher-uses-macos-app-screenshot-feature-to-steal-passwords-tokens-keys/

https://openradar.appspot.com/radar?id=5610698700750848

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180213G12QMG00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券