Злоумышленник может украсть пароли пользователей macOS, сняв скриншот

Олег Иванов 12 Февраля 2018 - 12:48

Домашние пользователи

macOS

Apple

Уязвимости программ

Умышленные утечки информации

Кража данных

...

Злоумышленник может украсть пароли пользователей macOS, сняв скриншот

Разработчики вредоносных приложений могут использовать функцию macOS API для скрытого снятия скриншотов экрана пользователя, после чего задействовать оптическое распознавание символов (Optical Character Recognition, OCR), чтобы считать текст на этих скриншотах.

Функция, о которой идет речь, называется CGWindowListCreateImage, она часто используется приложениями macOS, которые делают скриншоты или стримят рабочий стол пользователя в режиме реального времени.

По словам основателя Феликса Краузе, основателя Fastlane Tools, любое приложение, находящееся в песочнице или за ее пределами, может получить доступ к этой функции и тайно снимать скриншоты экрана пользователя.

В проведенных Краузе экспериментах эксперт смог использовать библиотеку OCR для чтения различных типов информации, запечатленных на скришотах, снятых с помощью CGWindowListCreateImage.

Исследователь считает, что злоумышленник сможет совершить следующий действия при помощи этой техники:

Считать пароли и ключи от менеджеров паролей.
Считать чувствительный исходный код, ключи API или аналогичные данные.
Считать сообщения электронной почты, а также любые другие.
Определить, какие веб-службы использует пользователь (например, менеджеры паролей и тому подобное).
Получить личную информацию — банковские реквизиты, адрес, прочее.

По словам эксперта, он сообщил Apple об этой проблеме в ноябре прошлого года, однако, поскольку проблема не была решена, вчера Краузе опубликовал информацию об этой схеме в своем блоге.

Более того, исследователь даже опубликовал способ, с помощью которого компания могла бы решить данную проблему. По его словам, потребуется только диалоговое окно при использовании каким-либо приложением функции CGWindowListCreateImage.

Напомним, что не так давно мы писали о вредоносной программе для macOS MaMi, которая нацелена на DNS-настройки.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 15:55

Уязвимости программ Домашние пользователи Корпорации Mozilla

В Firefox и Tor закрыли уязвимость отслеживания пользователей без cookies

Исследователи обнаружили уязвимость в Firefox, из-за которой сайты могли отслеживать пользователей даже в режиме приватного просмотра. Проблема, получившая идентификатор CVE-2026-6770, также затронула Tor Browser, поскольку он основан на Firefox.

Брешь связана с браузерным API IndexedDB, который используется для хранения структурированных данных на стороне пользователя.

Суть проблемы была в том, как Firefox обрабатывал имена баз данных IndexedDB. Браузер использовал внутренние UUID-сопоставления, а при запросе списка баз данных порядок их выдачи оставался одинаковым на разных сайтах в рамках одного запущенного процесса браузера.

Из-за этого разные сайты могли независимо видеть один и тот же порядок баз данных и связывать активность пользователя между доменами (без cookies и общего хранилища).

Такой отпечаток сохранялся после перезагрузки страниц и даже при запуске новых приватных сессий. Он исчезал только после полного перезапуска браузера.

Особенно неприятно, что проблема затрагивала не только приватный режим Firefox, но и функцию New Identity в Tor Browser. Она как раз предназначена для того, чтобы разрывать связь между сессиями: очищать историю, cookies и активные соединения. Однако уязвимость позволяла сайтам связывать сессии, которые должны быть изолированы друг от друга.

Mozilla устранила CVE-2026-6770 в Firefox 150. Компании присвоила дыре средний уровень риска и описала её как проблему в компоненте Storage: IndexedDB.

Tor Project также выпустил патч в Tor Browser 15.0.10, который вышел на прошлой неделе.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!