KeySteal-exploit: macOS Mojave-fout brengt Mac Keychain-wachtwoorden in gevaar

macOS Mojave-fout brengt uw Keychain-wachtwoorden in gevaar

macOS-sleutelhanger
Apple zal nog steeds geen beloning ophoesten.
Foto: Killian Bell/Cult of Mac

Een nieuwe fout die in macOS Mojave is ontdekt, brengt uw gevoelige Keychain-gegevens in gevaar.

Een beveiligingsonderzoeker heeft een exploit aangetoond waarmee iedereen toegang kan krijgen tot opgeslagen gebruikersnamen en wachtwoorden zonder beheerderstoegang. Hij zal de details echter niet met Apple delen, omdat er geen beloning wordt aangeboden.

door zijn bug bounty programma, hoest Apple beloningen op als mensen ernstige iOS-kwetsbaarheden ontdekken. Maar hetzelfde mechanisme geldt niet voor macOS. Daarom wil onderzoeker Linuz Henze de details van een nieuw ontdekte fout in Mojave niet onthullen.

Henze - die een goede staat van dienst heeft opgebouwd door iOS-problemen te identificeren - lijkt de wereld echter graag te laten zien wat de kwetsbaarheid toestaat. En het is niet goed.

KeySteal exploit steelt Mac Keychain-wachtwoorden

Met behulp van een programma dat Henze KeySteal noemt, heeft hij met succes gebruikersnamen en wachtwoorden vastgelegd die zijn opgeslagen in de macOS-sleutelhanger zonder beheerderstoegang.

Het maakt niet uit of toegangscontrolelijsten op de machine zijn geplaatst. De Mac's Bescherming van systeemintegriteit kan het ook niet voorkomen.

Hier is een korte video van KeySteal in actie:

Henze zegt dat de exploit kan worden gebruikt om toegang te krijgen tot alle items in de "login" en "System" Keychains. Het heeft echter geen toegang tot gegevens in de iCloud-sleutelhanger, die informatie op een andere manier opslaat.

Beveiligingsonderzoeker wil Apple onder druk zetten

Henze zal zijn bevindingen niet aan Apple bekendmaken vanwege zijn frustratie over het ontbreken van een bug bounty-programma voor macOS. Hij moedigt andere onderzoekers aan om ook beveiligingsproblemen openbaar te maken, zodat ze Apple onder druk kunnen zetten om iets te veranderen.

Het is niet duidelijk of Apple op de hoogte is van dit specifieke probleem in Mojave, maar er is iets dat gebruikers kunnen doen om zichzelf te beschermen.

Hoe de KeySteal-exploitatie te voorkomen?

U kunt exploits zoals KeySteal blokkeren door de inlogsleutelhanger te vergrendelen met een extra wachtwoord. U moet dit handmatig doen omdat het niet standaard is beveiligd in macOS. De oplossing is niet ideaal omdat het eindeloze wachtwoordvragen betekent bij het gebruik van je Mac.

Het is voorlopig echter de enige oplossing voor deze macOS-kwetsbaarheid. Dus als u zich zorgen maakt over het probleem, is dit uw enige keuze.

Via: Heise

Laatste blogbericht

Apple nieuws, analyse en opinie, plus algemeen technisch nieuws
September 10, 2021

Ontwikkelaar laat Google Maps werken onder iOS 6 met 'A Little Trickery' [Video]Google Maps is verdwenen in iOS 6, maar sommige gebruikers zijn wan...

Apple wakkert WK-koorts aan met nieuwe 'Shot on iPhone'-video's
September 10, 2021

Apple wakkert WK-koorts aan met nieuwe 'Shot on iPhone'-video'sEen van de drie nieuwe "Shot on iPhone"-video's is De 'Wa' van voetbal met boeddhist...

Apple nieuws, analyse en opinie, plus algemeen technisch nieuws
September 10, 2021

MyAssistant Tweak krijgt nieuwsfuncties en bugfixes in de nieuwste update [Jailbreak]We zijn grote fans van de MyAssistant-tweak hier bij Cult of M...