Ohio State का Serpent attack Apple Intelligence के tokens को login keychain से निकालकर किसी अन्य device पर replay करता है; macOS 26.2 आंशिक fix भेजता है

Ohio State के शोधकर्ताओं ने "Serpent" पर विवरण प्रकाशित किए, macOS 26.0 (Tahoe) पर Apple Intelligence के authentication के विरुद्ध एक attack। Paper arxiv 2604.15637 पर है। Apple का authentication design एक दो-चरण token system (Token Granting Tokens और One-Time Tokens, Privacy Pass protocol के माध्यम से जारी) का उपयोग करता है जिसका उद्देश्य Apple Intelligence services के विरुद्ध devices को गुमनाम रूप से authenticate करना है। Serpent प्रदर्शित करता है कि tokens login keychain में plaintext में समाप्त होते हैं, standard macOS tools के साथ निकाले जा सकते हैं, और किसी अन्य device पर replay किए जा सकते हैं मूल का प्रतिरूपण करने के लिए।

Extraction path इंजीनियरिंग विवरण है जिसे समझना है। Victim Mac पर ordinary user permissions के साथ चलने वाला malware SecItemCopyMatching API या /usr/bin/security CLI के माध्यम से login keychain से TGT और OTT values खींच सकता है, यह मानते हुए कि user रूटीन keychain-access prompt पर click करता है। Tokens हाथ में होने पर, attacker अपने स्वयं के local keychain को victim के tokens के साथ overwrite करता है, और बाद के Apple Intelligence requests attacker के device को victim के रूप में पहचानते हैं। न kernel exploit और न privileged access की आवश्यकता है। Design flaw यह है कि tokens storable और portable हैं एक container में जो ordinary app-level malware द्वारा पहुंच योग्य है।

Apple ने macOS 26.2 में patched करते हुए tokens को login keychain से iCloud keychain में ले जाकर और kernel permission checks जोड़कर। शोधकर्ता नोट करते हैं कि यह आंशिक fix है, पूर्ण नहीं: पर्याप्त रूप से privileged attacker अभी भी kernel extensions के माध्यम से entitlements bypass कर सकता है, और "per-device anonymous auth tokens जो local storage से चुराए जा सकते हैं" की सामान्य श्रेणी architectural है implementation-specific के बजाय। CVE-2025-43509 assigned है। किसी भी व्यक्ति के लिए जो client platforms पर privacy-preserving anonymous-auth flows बना रहा है, सबक यह है कि storage layer protocol layer जितनी मायने रखती है। Privacy Pass guarantees टूट जाते हैं अगर tokens उस device से हटाए जा सकते हैं जिसे वे जारी किए गए थे।

Builders के लिए दो बिंदु। एक, अगर आपका product device identity से जुड़े anonymous access tokens (AI services, DRM, API rate limiting, कुछ भी समान के लिए) उपयोग करता है, Serpent pattern वह template है जिसके खिलाफ आपके storage design का परीक्षण करें। "OS-provided keychain में Tokens" पर्याप्त नहीं है अगर वह keychain एक रूटीन consent prompt के पीछे ordinary user-permission code द्वारा पढ़ने योग्य है। दो, Ohio State का paper उसी हफ्ते आता है जब Mozilla/Mythos के 271 zero-days और Anthropic Glasswing leak report आती है। Pattern सुसंगत है: AI platform security मॉडल-access control (कौन weights पाता है, कौन API पाता है) पर केंद्रित हो रही है जबकि classical app-और-OS authentication layer एक नरम target बनी हुई है। AI deployment का client side वह जगह है जहां अगले साल के practical exploits रहेंगे।