macOS Mojave-fout brengt uw Keychain-wachtwoorden in gevaar
Een nieuwe fout die in macOS Mojave is ontdekt, brengt uw gevoelige Keychain-gegevens in gevaar.
Een beveiligingsonderzoeker heeft een exploit aangetoond waarmee iedereen toegang kan krijgen tot opgeslagen gebruikersnamen en wachtwoorden zonder beheerderstoegang. Hij zal de details echter niet met Apple delen, omdat er geen beloning wordt aangeboden.
door zijn bug bounty programma, hoest Apple beloningen op als mensen ernstige iOS-kwetsbaarheden ontdekken. Maar hetzelfde mechanisme geldt niet voor macOS. Daarom wil onderzoeker Linuz Henze de details van een nieuw ontdekte fout in Mojave niet onthullen.
Henze - die een goede staat van dienst heeft opgebouwd door iOS-problemen te identificeren - lijkt de wereld echter graag te laten zien wat de kwetsbaarheid toestaat. En het is niet goed.
KeySteal exploit steelt Mac Keychain-wachtwoorden
Met behulp van een programma dat Henze KeySteal noemt, heeft hij met succes gebruikersnamen en wachtwoorden vastgelegd die zijn opgeslagen in de macOS-sleutelhanger zonder beheerderstoegang.
Het maakt niet uit of toegangscontrolelijsten op de machine zijn geplaatst. De Mac's Bescherming van systeemintegriteit kan het ook niet voorkomen.
Hier is een korte video van KeySteal in actie:
Henze zegt dat de exploit kan worden gebruikt om toegang te krijgen tot alle items in de "login" en "System" Keychains. Het heeft echter geen toegang tot gegevens in de iCloud-sleutelhanger, die informatie op een andere manier opslaat.
Beveiligingsonderzoeker wil Apple onder druk zetten
Henze zal zijn bevindingen niet aan Apple bekendmaken vanwege zijn frustratie over het ontbreken van een bug bounty-programma voor macOS. Hij moedigt andere onderzoekers aan om ook beveiligingsproblemen openbaar te maken, zodat ze Apple onder druk kunnen zetten om iets te veranderen.
Het is niet duidelijk of Apple op de hoogte is van dit specifieke probleem in Mojave, maar er is iets dat gebruikers kunnen doen om zichzelf te beschermen.
Hoe de KeySteal-exploitatie te voorkomen?
U kunt exploits zoals KeySteal blokkeren door de inlogsleutelhanger te vergrendelen met een extra wachtwoord. U moet dit handmatig doen omdat het niet standaard is beveiligd in macOS. De oplossing is niet ideaal omdat het eindeloze wachtwoordvragen betekent bij het gebruik van je Mac.
Het is voorlopig echter de enige oplossing voor deze macOS-kwetsbaarheid. Dus als u zich zorgen maakt over het probleem, is dit uw enige keuze.
Via: Heise