Mac电脑又现漏洞，不用密码就能获取用户信息

苹果的Mac电脑由于其优质的封闭性，一贯被大家认为是相对安全的计算机设备，但是近几年，关于Mac的漏洞却层出不穷，这也让大家对Mac的安全性产生了怀疑。

近日，一个关于Mac 电脑的密码管理系统（钥匙串）上的新漏洞被发现，黑客可以利用这个漏洞，无需输入密码就能轻易地获取用户的密码、证书等信息。

这一漏洞是自黎巴嫩贝鲁特地区的两位开发者Antoine Vincent Jebara 和 Raja Rahbani共同发现的，他们在研发产品时偶然发现了这一漏洞，黑客只需将编写好的相关控制终端命令绑在一个正常的图片、文档、表格等文件上发送出去，只要用户把这个文件下载到本地之后，恶意软件就会让钥匙串去提示用户点击弹窗选项，一旦用户点击“允许”，那么在文件打开的时候，钥匙串里的数据就会被传送出去，从而被黑客利用。

经过两位研发者测试后发现，这一漏洞极不容易被发现，因为代码本身是合法的，而且绑定的文件也是无害的，所以，根据这个漏洞做出的而已软件很难被安全软件检测出来。

目前，发现漏洞的研发者已经将这一发现通知了苹果官方，并通过媒体渠道通知了广大用户，警惕钥匙串给出的“允许”按钮提醒。

去年，中国知名Apple爱好者论坛“麦芽地”散播出一种 WireLurker 的病毒，导致AppStore中有超过400款针对Mac OS X 设计的应用都被感染，并且这些应用被下载了超过35万次，估计已经感染了数十万台电脑。自“麦芽地”事件之后，苹果Mac电脑似乎陷入了漏洞的怪圈，不停被爆出各种漏洞。在此前，雷锋网就报道了一系列关于Mac电脑的安全问题，其中就包括“可绕过系统密码安装广告软件”、“针对 Mac 固件安全漏洞”、“绕过系统轻易安装EFI rootkit（一种特殊类型的恶意软件）”等各种低级漏洞，这些不断曝出的漏洞，让Mac用户们越来越担心个人计算机的安全。

相对于Windows设备，Mac一直以来都以封闭的系统给人以相对安全的印象，然而越来越多的漏洞到底是小概率事件，还是Mac本身就有很多漏洞，加之近几年使用Mac设备的用户越来越多，导致开发者和黑客越来越重视OS X系统而把漏洞挖出？

目前，苹果还没有对漏洞进行正面回应。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。