פגם macOS Mojave מסכן את סיסמאות מחזיקי המפתחות שלך
פגם חדש שהתגלה ב- macOS Mojave מסכן את נתוני מחזיקי המפתחות הרגישים שלך.
חוקר אבטחה אחד הוכיח ניצול שיכול לאפשר לכל אחד לגשת לשמות משתמש וסיסמאות שמורות ללא גישת מנהל. עם זאת, הוא לא ישתף את הפרטים עם אפל מכיוון שאין שום תגמול.
באמצעות שלו תוכנית שפע של באגים, אפל משתעלת פרסים כאשר אנשים מגלים פגיעויות חמורות של iOS. אבל אותו מנגנון אינו נוגע ל- macOS. זו הסיבה שהחוקר לינוז הנזה לא יחשוף את הפרטים של פגם שהתגלה לאחרונה במוג'אב.
עם זאת, נראה שהנזה - שזכה לשיא של זיהוי בעיות ב- iOS - שמח להראות לעולם בדיוק מה הפגיעות מאפשרת. וזה לא טוב.
ניצול KeySteal גונב סיסמאות של מחזיקי מפתחות
בעזרת תוכנית Henze קוראת ל- KeySteal, הוא קלט בהצלחה שמות משתמשים וסיסמאות שנשמרו במחזיק המפתחות של macOS ללא גישת מנהל.
זה לא משנה אם רשימות בקרת גישה נמצאים במקום במכונה. המק הגנת תקינות המערכת גם לא יכול למנוע זאת.
להלן סרטון קצר של KeySteal בפעולה:
Henze אומר שניתן להשתמש בניצול כדי לגשת לכל הפריטים במחזיקי המפתחות "התחברות" ו"מערכת ". עם זאת, הוא אינו יכול לגשת לנתונים במחזיק המפתחות iCloud, המאחסן מידע בצורה שונה.
חוקר האבטחה רוצה להפעיל לחץ על אפל
הנזה לא יחשוף את ממצאיו לאפל בגלל התסכול שלו מהיעדר תוכנית שפע של באגים ל- macOS. הוא מעודד חוקרים אחרים לשחרר בפומבי גם בעיות אבטחה, כדי שיוכלו ללחוץ על אפל לבצע שינוי.
לא ברור אם אפל מודעת לבעיה הספציפית הזו במוג'אווה - אבל יש משהו שמשתמשים יכולים לעשות כדי להגן על עצמם.
כיצד למנוע ניצול KeySteal
אתה יכול לחסום מעלולים כמו KeySteal על ידי נעילת מחזיק מפתחות הכניסה באמצעות סיסמה נוספת. עליך לעשות זאת באופן ידני מכיוון שהוא אינו מוגן כברירת מחדל ב- macOS. התיקון אינו אידיאלי מכיוון שמשמעותו אינסופיות של הנחיות סיסמה בעת שימוש ב- Mac שלך.
עם זאת, זה התיקון היחיד לפגיעות של macOS לעת עתה. אז אם אתה מודאג מהבעיה, זו הבחירה היחידה שלך.
באמצעות: הייז