macOS Mojave viga seab teie võtmehoidja paroolid ohtu
![MacOS Mojave viga seab teie võtmehoidja paroolid ohtu macOS võtmehoidja](/f/4885af82bf6aefa9a29035e639c32707.jpeg)
Foto: Killian Bell/Cult of Mac
MacOS Mojave'is avastatud uus viga seab teie tundlikud võtmehoidja andmed ohtu.
Üks turu -uurija on demonstreerinud ärakasutamist, mis võimaldab kõigil pääseda juurde salvestatud kasutajanimedele ja paroolidele ilma administraatori juurdepääsuta. Kuid ta ei jaga Apple'iga üksikasju, sest tasu ei pakuta.
Selle kaudu vearaha programm, Apple köhib auhindu, kui inimesed avastavad tõsiseid iOS -i haavatavusi. Kuid sama mehhanism ei laiene ka macOS -ile. Sellepärast ei avalda teadlane Linuz Henze Mojaves äsja avastatud vea üksikasju.
Siiski näib Henze, kes teenis iOS -i probleemide tuvastamisega häid tulemusi, näitama rõõmuga maailmale, mida haavatavus võimaldab. Ja see pole hea.
KeySteal exploit varastab Mac Keychaini paroolid
Programmi abil, mille Henze helistab KeyStealile, jäädvustas ta edukalt kasutajanimed ja paroolid, mis salvestati macOS Keychaini ilma administraatori juurdepääsuta.
Pole vahet, kui juurdepääsu kontrollnimekirjad on masinal paigas. Maci omad Süsteemi terviklikkuse kaitse ei saa seda ka takistada.
Siin on lühike video KeySteali toimimisest:
Henze ütleb, et ärakasutamist saab kasutada kõigi sisselogimis- ja süsteemisüsteemi võtmehoidjate üksuste juurde pääsemiseks. Kuid see ei pääse juurde andmetele iCloudi võtmehoidjas, mis salvestab teavet erinevalt.
Turvauurija soovib survestada Apple'i
Henze ei avalda oma järeldusi Apple'ile, kuna ta on pettunud macOS -i veapreemiaprogrammi puudumise pärast. Ta julgustab ka teisi teadlasi avalikult turvaküsimusi avalikustama, et nad saaksid Apple'ile muudatuste tegemiseks survet avaldada.
Pole selge, kas Apple on sellest Mojave probleemist teadlik, kuid kasutajad saavad enda kaitsmiseks midagi ette võtta.
Kuidas vältida KeySteali ärakasutamist
Saate blokeerida ärakasutamist, näiteks KeySteal, lukustades sisselogimise võtmehoidja täiendava parooliga. Peate seda tegema käsitsi, kuna see pole macOS -is vaikimisi kaitstud. Parandus pole ideaalne, sest see tähendab lõputuid parooli viipasid Maci kasutamisel.
Siiski on see selle MacOS -i haavatavuse ainus lahendus. Nii et kui olete probleemi pärast mures, on see teie ainus valik.
Läbi: Heise