原创 Mac电脑新漏洞，无需密码就能窃取用户信息

　　Mac 电脑不安全已经不是新鲜事了，只不过，最近发现的漏洞更加严重了。

　　最近，来自黎巴嫩贝鲁特地区的两位开发者Antoine Vincent Jebara 和 Raja Rahbani在 Mac 电脑的密码管理系统（即钥匙串）上发现了一个新漏洞。无需用户输入密码，黑客可以利用这个漏洞轻易地获取你的密码、证书等信息。

　　这两位开发者是一家做认证管理系统 Myki的公司的联合创始人。在研发他们的产品时，他们偶然发现了这个漏洞，入侵用户系统的时候会弹出一个这样的对话框：

　　钥匙串的使用

　　这个漏洞的利用方式是这样的：黑客只需将编写好的终端命令，绑在正常的文件上，例如图片、电子表格等。Mac 用户把这个文件下载到本地后，恶意软件会让钥匙串去提示用户点击“允许”按钮，一旦用户点击，在文件打开的同时，钥匙串里的数据就会被传送出去。

　　这两位开发者在发现了这个漏洞后，对这个漏洞进行了实地检验。在他们的测试中，他们把恶意代码跟图片绑定，随着“允许”按钮的点击，图片就在预览中打开，而密码信息很快就以短信的方式传送到手机上了。

　　由于代码本身是合法的，而且绑定的文件也是无害的，因而根据这个漏洞做出的恶意软件很难被安全软件检测出来。

　　在回复科技博客 Engadget 的邮件中，开发者之一的 Jebara 称，他们已经通知了苹果官方，并且决定把这个事情说出来，让用户警惕钥匙串给出的“允许”按钮的提醒。

　　事实上，针对钥匙串开发恶意代码从 2011 年开始就有了，叫做 DevilRobber，曾被用来操控 Mac 电脑来挖比特币。目前，只有当你的 Mac 电脑已经安装了某个软件，这种针对钥匙串的攻击方式被这个软件唤醒，才会有效。

　　过去 Mac 曾被认为是相对安全的计算设备，而在 2014 年的“麦芽地 Mac/iOS 病毒”事件后，Mac 电脑的安全问题也被提了出来。也许是由于整个 PC 市场下滑的情况下，Mac 的销量逆势而上，黑客也开始关注 OS X 系统了。

　　日前还有安全专家制造了针对 Mac 固件安全漏洞的病毒，只需让外接设备通过 Thunderbolt 接口接入 Mac 电脑，几秒钟时间电脑就会被控制。而且由于固件病毒的特殊性，杀毒软件难以检测，普通用户也难以自己清除。