Nedostatak macOS Mojave dovodi vaše lozinke privjesaka za ključeve u opasnost
Fotografija: Killian Bell/Cult of Mac
Nova greška otkrivena u macOS Mojave dovodi vaše osjetljive podatke o privjesku ključeva u opasnost.
Jedan istraživač sigurnosti demonstrirao je iskorištavanje koje bi bilo kome moglo omogućiti pristup spremljenim korisničkim imenima i lozinkama bez administratorskog pristupa. Međutim, detalje neće dijeliti s Appleom jer u ponudi nema nagrade.
Kroz svoje buount bounty program, Apple nagrađuje nagrade kada ljudi otkriju ozbiljne ranjivosti iOS -a. No isti se mehanizam ne proteže na macOS. Zato istraživač Linuz Henze neće otkriti detalje novootkrivenog nedostatka u Mojavama.
Međutim, čini se da je Henze - koji je zaradio dobar uspjeh identificirajući probleme s iOS -om - sretan pokazati svijetu točno što ranjivost dopušta. I nije dobro.
KeySteal exploit krade Mac Keychain lozinke
Koristeći program koji Henze poziva KeySteal, uspješno je uhvatio korisnička imena i lozinke spremljene u macOS privjesak za ključeve bez administratorskog pristupa.
Nema razlike ako popisima za kontrolu pristupa su na stroju. Macovi Zaštita integriteta sustava ni to ne mogu spriječiti.
Evo kratkog videa KeySteala na djelu:
Henze kaže da se eksploat može koristiti za pristup svim stavkama u privjescima za prijavu i sustavu. Međutim, ne može pristupiti podacima u privjesku za ključeve iCloud koji drugačije pohranjuje podatke.
Istraživač sigurnosti želi izvršiti pritisak na Apple
Henze neće otkriti svoja otkrića Appleu zbog frustracije zbog nedostatka programa za uklanjanje grešaka za macOS. Potiče i druge istraživače da javno objave sigurnosna pitanja, kako bi mogli izvršiti pritisak na Apple da napravi promjenu.
Nije jasno je li Apple svjestan ovog problema u Mojaveu - ali korisnici mogu učiniti nešto kako bi se zaštitili.
Kako spriječiti iskorištavanje KeySteala
Eksploatacije poput KeySteal -a možete blokirati zaključavanjem privjeska za ključeve pomoću dodatne lozinke. To morate učiniti ručno jer u macOS -u nije zadano zaštićeno. Popravak nije idealan jer znači beskonačne upite lozinke pri korištenju vašeg Mac računala.
To je zasad jedini popravak ove ranjivosti na macOS -u. Dakle, ako ste zabrinuti zbog problema, to je vaš jedini izbor.
Preko: Heise
