安全研究人員和前美國國家安全局分析師Patrick Wardle今天早上在twitter上分享了這一漏洞，并分享了這一漏洞的視頻。

在High Sierra(未簽名)應用程序中，可以通過編程來轉儲用戶密碼。

要想讓這種漏洞發揮作用，用戶需要從一個未知來源下載惡意第三方代碼。蘋果對應用程序在Mac App Store之外或不受信任的開發者處下載予以了強烈的反對警告。

事實上，蘋果甚至不允許非信任的開發者的應用在沒有明確覆蓋安全設置的情況下被下載。

正如網上視頻所展示的那樣，Wardle創建了一個概念驗證的應用程序，叫做“keychainStealer”，能夠訪問Twitter、Facebook和美國銀行的鑰匙鏈中存儲的純文本密碼。

Wardle在福布斯雜志上談到了這一漏洞，他說，即使在蘋果的保護措施下，在Mac上運行惡意代碼也并不難。

Wardle在志采訪時還表示：“并不需要root用戶特權，如果用戶登錄了，我就可以轉儲并過濾掉密鑰鏈，包括明文密碼。”

“通常情況下，你不應該通過編程來做到這一點。”

他補充說：“我們今天看到的大多數攻擊都涉及到社交賬戶管理，而且似乎成功地針對Mac用戶。”

“我不會說keychain的開發是無用的——但惡意攻擊能完成工作，不需要root用戶，而且成功率達到100%。”

Wardle還沒有為惡意實體提供完整的漏洞，他相信蘋果會在未來的更新中修復這一問題。

由于Wardle沒有公布完整的漏洞代碼，外界無法對此進行驗證，也沒有別的相似消息來源進行比對，所以關于這個漏洞的完整細節還不為人所知。

蘋果尚未回應記者就其系統潛在危險性發表評論的請求。