Apple News

Apple News

KeySteal -udnyttelse: macOS Mojave -fejl sætter Mac -nøgleringskodeord i fare

instagram viewer

macOS Mojave -fejl sætter dine nøgleringskodeord i fare

macOS nøglering
Apple hoster stadig ikke en belønning.
Foto: Killian Bell/Cult of Mac

En ny fejl opdaget i macOS Mojave sætter dine følsomme nøgleringdata i fare.

En sikkerhedsforsker har demonstreret en udnyttelse, der kunne give enhver adgang til gemte brugernavne og adgangskoder uden administratoradgang. Han vil dog ikke dele detaljerne med Apple, fordi der ikke tilbydes nogen belønning.

Gennem dens bug bounty program, Apple hoster belønninger op, når folk opdager alvorlige iOS -sårbarheder. Men den samme mekanisme omfatter ikke macOS. Derfor vil forsker Linuz Henze ikke afsløre detaljerne om en nyligt opdaget fejl i Mojave.

Henze - der tjente en god track record ved at identificere iOS -problemer - synes imidlertid glad for at vise verden, hvad sårbarheden tillader. Og det er ikke godt.

KeySteal exploit stjæler Mac -nøgleringskodeord

Ved hjælp af et program, Henze kalder KeySteal, fangede han med succes brugernavne og adgangskoder gemt i macOS nøglering uden administratoradgang.

Det gør ingen forskel, hvis adgangskontrollister er på plads på maskinen. Mac’erne Systemintegritetsbeskyttelse kan heller ikke forhindre det.

Her er en kort video af KeySteal i aktion:

Henze siger, at udnyttelsen kan bruges til at få adgang til alle elementer i "login" og "System" nøgleringe. Den kan dog ikke få adgang til data i iCloud -nøglering, som gemmer oplysninger anderledes.

Sikkerhedsforsker ønsker at lægge pres på Apple

Henze vil ikke videregive sine resultater til Apple på grund af sin frustration over manglen på et bug bounty -program til macOS. Han opfordrer andre forskere til også at offentliggøre sikkerhedsspørgsmål, så de kan lægge pres på Apple for at foretage en ændring.

Det er ikke klart, om Apple er opmærksom på dette særlige problem i Mojave - men der er noget, brugerne kan gøre for at beskytte sig selv.

Sådan forhindres KeySteal -udnyttelse

Du kan blokere bedrifter som KeySteal ved at låse login -nøglering med en ekstra adgangskode. Du skal gøre dette manuelt, fordi det ikke er beskyttet som standard i macOS. Rettelsen er ikke ideel, fordi det betyder endeløse kodeordsprompt, når du bruger din Mac.

Det er dog den eneste løsning på denne macOS -sårbarhed for nu. Så hvis du er bekymret for problemet, er det dit eneste valg.

Via: Heise

click fraud protection

Kategorier

Seneste blogindlæg

| Cult of Mac
September 10, 2021

Sådan deles og downloades Apple Watch -ansigter i watchOS 7En utal samling ansigter at vælge imellem.Billede: Killian Bell/Cult of MacApples nye op...

Sky Force Reloaded, Frame.io og andre fantastiske apps i ugen
September 10, 2021

I en uge hvor Cult of Mac bragte dig eksklusive næste generations MacBook-billeder og kontroversiel eks-iPad-skaber Tony Fadell skiltes med Nest, v...

| Cult of Mac
September 10, 2021

Pim din låseskærm med "FancyLock" [Videoanmeldelse]Efter at have tændt og slukket din enhed i løbet af dagen kan det være let at blive træt af din ...