Apple News

Apple News

Využití KeySteal: chyba systému MacOS Mojave ohrožuje hesla klíčů Mac Keychain

instagram viewer

Chyba macOS Mojave ohrožuje vaše hesla ke klíčenkám

Klíčenka macOS
Apple stále na odměnu nevykašle.
Foto: Killian Bell/Cult of Mac

Nová chyba objevená v systému macOS Mojave ohrožuje citlivá data klíčenek.

Jeden výzkumník zabezpečení předvedl exploit, který by komukoli umožnil přístup k uloženým uživatelským jménům a heslům bez přístupu správce. Podrobnosti však s Apple nesdílí, protože v nabídce není žádná odměna.

Prostřednictvím jeho bug bounty program, Apple kašle na odměny, když lidé objeví vážná zranitelnost iOS. Stejný mechanismus se však nevztahuje na macOS. Proto výzkumník Linuz Henze neprozradí podrobnosti o nově objevené chybě v Mojave.

Zdá se však, že Henze - který získal dobré výsledky díky identifikaci problémů se systémem iOS - ukazuje světu přesně to, co zranitelnost umožňuje. A není to dobré.

Využití KeySteal krade hesla pro klíčenky Mac

Pomocí programu Henze volá KeySteal, úspěšně zachytil uživatelská jména a hesla uložená na klíčence macOS bez přístupu správce.

Nezáleží na tom, jestli seznamy řízení přístupu jsou na místě na stroji. Macy Ochrana integrity systému ani tomu nelze zabránit.

Zde je krátké video KeySteal v akci:

Henze říká, že exploit lze použít k přístupu ke všem položkám v klíčenkách „přihlášení“ a „Systém“. Nemůže však přistupovat k datům v iCloud Keychain, která ukládá informace odlišně.

Bezpečnostní výzkumník chce vyvinout tlak na Apple

Henze svá zjištění neprozradí společnosti Apple kvůli své frustraci z nedostatku programu odměn za chyby pro macOS. Povzbuzuje ostatní výzkumníky, aby také veřejně zveřejnili bezpečnostní problémy, aby mohli vyvinout tlak na Apple, aby provedl změnu.

Není jasné, zda si Apple je tohoto konkrétního problému v Mojave vědom - ale uživatelé mohou něco udělat, aby se chránili.

Jak zabránit zneužití KeySteal

Zneužívání, jako je KeySteal, můžete blokovat zamčením přihlašovací klíčenky dalším heslem. Musíte to udělat ručně, protože ve výchozím nastavení není v systému macOS chráněn. Oprava není ideální, protože při používání počítače Mac znamená nekonečné výzvy k zadání hesla.

Prozatím je to však jediná oprava této chyby zabezpečení systému macOS. Pokud se tedy problému obáváte, je to vaše jediná volba.

Přes: Heise

click fraud protection

Kategorie

Poslední příspěvek na blogu

Novinky, analýzy a názory společnosti Apple a obecné technické zprávy
August 19, 2021

iPhone 5s a iPhone 5c konečně schválen pro China MobileDalší důkazy naznačující, že nové iPhony jsou téměř připraveny na svůj dlouho očekávaný debu...

Novinky, analýzy a názory společnosti Apple a obecné technické zprávy
August 19, 2021

Největší japonský operátor, který na podzim získá iPhone [zpráva]Podle nové zprávy japonské obchodní publikace Nikkei míří iPhone letos na podzim k...

Novinky, analýzy a názory společnosti Apple a obecné technické zprávy
August 19, 2021

Apple začíná odesílat iWork pro iCloud Beta pozvánky na veřejnostRegistrovaní vývojáři testují iWork pro iCloud beta od chvíle, kdy jej Apple oznám...