Chyba macOS Mojave ohrožuje vaše hesla ke klíčenkám
![Chyba systému MacOS Mojave ohrožuje hesla pro klíčenky Klíčenka macOS](/f/4885af82bf6aefa9a29035e639c32707.jpeg)
Foto: Killian Bell/Cult of Mac
Nová chyba objevená v systému macOS Mojave ohrožuje citlivá data klíčenek.
Jeden výzkumník zabezpečení předvedl exploit, který by komukoli umožnil přístup k uloženým uživatelským jménům a heslům bez přístupu správce. Podrobnosti však s Apple nesdílí, protože v nabídce není žádná odměna.
Prostřednictvím jeho bug bounty program, Apple kašle na odměny, když lidé objeví vážná zranitelnost iOS. Stejný mechanismus se však nevztahuje na macOS. Proto výzkumník Linuz Henze neprozradí podrobnosti o nově objevené chybě v Mojave.
Zdá se však, že Henze - který získal dobré výsledky díky identifikaci problémů se systémem iOS - ukazuje světu přesně to, co zranitelnost umožňuje. A není to dobré.
Využití KeySteal krade hesla pro klíčenky Mac
Pomocí programu Henze volá KeySteal, úspěšně zachytil uživatelská jména a hesla uložená na klíčence macOS bez přístupu správce.
Nezáleží na tom, jestli seznamy řízení přístupu jsou na místě na stroji. Macy Ochrana integrity systému ani tomu nelze zabránit.
Zde je krátké video KeySteal v akci:
Henze říká, že exploit lze použít k přístupu ke všem položkám v klíčenkách „přihlášení“ a „Systém“. Nemůže však přistupovat k datům v iCloud Keychain, která ukládá informace odlišně.
Bezpečnostní výzkumník chce vyvinout tlak na Apple
Henze svá zjištění neprozradí společnosti Apple kvůli své frustraci z nedostatku programu odměn za chyby pro macOS. Povzbuzuje ostatní výzkumníky, aby také veřejně zveřejnili bezpečnostní problémy, aby mohli vyvinout tlak na Apple, aby provedl změnu.
Není jasné, zda si Apple je tohoto konkrétního problému v Mojave vědom - ale uživatelé mohou něco udělat, aby se chránili.
Jak zabránit zneužití KeySteal
Zneužívání, jako je KeySteal, můžete blokovat zamčením přihlašovací klíčenky dalším heslem. Musíte to udělat ručně, protože ve výchozím nastavení není v systému macOS chráněn. Oprava není ideální, protože při používání počítače Mac znamená nekonečné výzvy k zadání hesla.
Prozatím je to však jediná oprava této chyby zabezpečení systému macOS. Pokud se tedy problému obáváte, je to vaše jediná volba.
Přes: Heise