يعرض عيب macOS Mojave كلمات مرور Keychain الخاصة بك للخطر
الصورة: كيليان بيل / عبادة ماك
تم اكتشاف عيب جديد في macOS Mojave يعرض بيانات Keychain الحساسة الخاصة بك للخطر.
أظهر أحد الباحثين الأمنيين وجود استغلال قد يسمح لأي شخص بالوصول إلى أسماء المستخدمين وكلمات المرور المحفوظة دون وصول المسؤول. ومع ذلك ، لن يشارك التفاصيل مع Apple ، لأنه لا توجد مكافأة معروضة.
من خلال برنامج bug bounty، تسعل Apple المكافآت عندما يكتشف الأشخاص نقاط ضعف خطيرة في نظام التشغيل iOS. لكن نفس الآلية لا تمتد إلى macOS. لهذا السبب لن يكشف الباحث Linuz Henze عن تفاصيل الخلل المكتشف حديثًا في Mojave.
ومع ذلك ، فإن Henze - الذي حصل على سجل حافل من خلال تحديد مشاكل iOS - يبدو سعيدًا ليُظهر للعالم بالضبط ما تسمح به الثغرة الأمنية. وهذا ليس جيدًا.
استغلال KeySteal يسرق كلمات مرور سلسلة مفاتيح Mac
باستخدام برنامج يستدعي Henze KeySteal ، نجح في التقاط أسماء المستخدمين وكلمات المرور المحفوظة في macOS Keychain دون وصول المسؤول.
لا فرق إذا قوائم التحكم في الوصول في مكانها على الجهاز. أجهزة Mac حماية سلامة النظام لا يمكن منعه أيضًا.
إليك مقطع فيديو قصير عن KeySteal أثناء العمل:
يقول Henze إنه يمكن استخدام الاستغلال للوصول إلى جميع العناصر الموجودة في سلاسل مفاتيح "تسجيل الدخول" و "النظام". ومع ذلك ، لا يمكنه الوصول إلى البيانات في iCloud Keychain ، والتي تخزن المعلومات بشكل مختلف.
باحث أمني يريد الضغط على شركة آبل
لن يكشف Henze عن النتائج التي توصل إليها لشركة Apple بسبب إحباطه من عدم وجود برنامج مكافأة الأخطاء لنظام macOS. إنه يشجع الباحثين الآخرين على الإفصاح عن المشكلات الأمنية علنًا أيضًا ، حتى يتمكنوا من الضغط على Apple لإجراء تغيير.
ليس من الواضح ما إذا كانت Apple على علم بهذه المشكلة تحديدًا في Mojave - ولكن هناك شيء يمكن للمستخدمين القيام به لحماية أنفسهم.
كيفية منع استغلال KeySteal
يمكنك حظر عمليات الاستغلال مثل KeySteal عن طريق قفل سلسلة مفاتيح تسجيل الدخول بكلمة مرور إضافية. يجب عليك القيام بذلك يدويًا لأنه غير محمي افتراضيًا في macOS. الإصلاح ليس مثاليًا لأنه يعني مطالبات لا نهائية بكلمة المرور عند استخدام جهاز Mac الخاص بك.
هذا هو الحل الوحيد لثغرة macOS في الوقت الحالي. لذلك إذا كنت قلقًا بشأن المشكلة ، فهذا خيارك الوحيد.
عبر: هيس