KeySteal-exploit: macOS Mojave-fout brengt Mac Keychain-wachtwoorden in gevaar

macOS Mojave-fout brengt uw Keychain-wachtwoorden in gevaar

macOS-sleutelhanger
Apple zal nog steeds geen beloning ophoesten.
Foto: Killian Bell/Cult of Mac

Een nieuwe fout die in macOS Mojave is ontdekt, brengt uw gevoelige Keychain-gegevens in gevaar.

Een beveiligingsonderzoeker heeft een exploit aangetoond waarmee iedereen toegang kan krijgen tot opgeslagen gebruikersnamen en wachtwoorden zonder beheerderstoegang. Hij zal de details echter niet met Apple delen, omdat er geen beloning wordt aangeboden.

door zijn bug bounty programma, hoest Apple beloningen op als mensen ernstige iOS-kwetsbaarheden ontdekken. Maar hetzelfde mechanisme geldt niet voor macOS. Daarom wil onderzoeker Linuz Henze de details van een nieuw ontdekte fout in Mojave niet onthullen.

Henze - die een goede staat van dienst heeft opgebouwd door iOS-problemen te identificeren - lijkt de wereld echter graag te laten zien wat de kwetsbaarheid toestaat. En het is niet goed.

KeySteal exploit steelt Mac Keychain-wachtwoorden

Met behulp van een programma dat Henze KeySteal noemt, heeft hij met succes gebruikersnamen en wachtwoorden vastgelegd die zijn opgeslagen in de macOS-sleutelhanger zonder beheerderstoegang.

Het maakt niet uit of toegangscontrolelijsten op de machine zijn geplaatst. De Mac's Bescherming van systeemintegriteit kan het ook niet voorkomen.

Hier is een korte video van KeySteal in actie:

Henze zegt dat de exploit kan worden gebruikt om toegang te krijgen tot alle items in de "login" en "System" Keychains. Het heeft echter geen toegang tot gegevens in de iCloud-sleutelhanger, die informatie op een andere manier opslaat.

Beveiligingsonderzoeker wil Apple onder druk zetten

Henze zal zijn bevindingen niet aan Apple bekendmaken vanwege zijn frustratie over het ontbreken van een bug bounty-programma voor macOS. Hij moedigt andere onderzoekers aan om ook beveiligingsproblemen openbaar te maken, zodat ze Apple onder druk kunnen zetten om iets te veranderen.

Het is niet duidelijk of Apple op de hoogte is van dit specifieke probleem in Mojave, maar er is iets dat gebruikers kunnen doen om zichzelf te beschermen.

Hoe de KeySteal-exploitatie te voorkomen?

U kunt exploits zoals KeySteal blokkeren door de inlogsleutelhanger te vergrendelen met een extra wachtwoord. U moet dit handmatig doen omdat het niet standaard is beveiligd in macOS. De oplossing is niet ideaal omdat het eindeloze wachtwoordvragen betekent bij het gebruik van je Mac.

Het is voorlopig echter de enige oplossing voor deze macOS-kwetsbaarheid. Dus als u zich zorgen maakt over het probleem, is dit uw enige keuze.

Via: Heise

Laatste blogbericht

| Cult van Mac
September 11, 2021

Vergroot je aanwezigheid op Instagram zonder een vinger uit te steken [Deals]Deze Chrome-extensie volgt, vind-ik-leuks en meer automatisch om je vo...

| Cult of Mac
October 21, 2021

Wolfwalkers haalt 10 nominaties voor animatieprijzenWolfwalkers snoof tien nominaties op bij de Annie Awards.Foto: Cartoon SaloonApple TV+'s Wolfwa...

Woorden als 'gekken' geven een nauwkeurig beeld van Steve Jobs
September 11, 2021

Apple-fans voelden een diep gevoel van rouw in 2011 toen Apple-oprichter Steve Jobs bezweek aan kanker. Nu de vijfde verjaardag van zijn overlijden...