安全研究人員和前美國國家安全局分析師Patrick Wardle今天早上在twitter上分享了這一漏洞，并分享了這一漏洞的視頻。

在High Sierra(未簽名)應(yīng)用程序中，可以通過編程來轉(zhuǎn)儲用戶密碼。

要想讓這種漏洞發(fā)揮作用，用戶需要從一個未知來源下載惡意第三方代碼。蘋果對應(yīng)用程序在Mac App Store之外或不受信任的開發(fā)者處下載予以了強烈的反對警告。

事實上，蘋果甚至不允許非信任的開發(fā)者的應(yīng)用在沒有明確覆蓋安全設(shè)置的情況下被下載。

正如網(wǎng)上視頻所展示的那樣，Wardle創(chuàng)建了一個概念驗證的應(yīng)用程序，叫做“keychainStealer”，能夠訪問Twitter、Facebook和美國銀行的鑰匙鏈中存儲的純文本密碼。

Wardle在福布斯雜志上談到了這一漏洞，他說，即使在蘋果的保護措施下，在Mac上運行惡意代碼也并不難。

Wardle在志采訪時還表示：“并不需要root用戶特權(quán)，如果用戶登錄了，我就可以轉(zhuǎn)儲并過濾掉密鑰鏈，包括明文密碼。”

“通常情況下，你不應(yīng)該通過編程來做到這一點。”

他補充說：“我們今天看到的大多數(shù)攻擊都涉及到社交賬戶管理，而且似乎成功地針對Mac用戶。”

“我不會說keychain的開發(fā)是無用的——但惡意攻擊能完成工作，不需要root用戶，而且成功率達到100%。”

Wardle還沒有為惡意實體提供完整的漏洞，他相信蘋果會在未來的更新中修復(fù)這一問題。

由于Wardle沒有公布完整的漏洞代碼，外界無法對此進行驗證，也沒有別的相似消息來源進行比對，所以關(guān)于這個漏洞的完整細(xì)節(jié)還不為人所知。

蘋果尚未回應(yīng)記者就其系統(tǒng)潛在危險性發(fā)表評論的請求。