Apple News

Apple News

Exploração do KeySteal: a falha do macOS Mojave coloca as senhas das Chaves do Mac em risco

instagram viewer

A falha do macOS Mojave coloca suas senhas do Keychain em risco

chaveiro macOS
A Apple ainda não vai pagar uma recompensa.
Foto: Killian Bell / Cult of Mac

Uma nova falha descoberta no macOS Mojave coloca seus dados confidenciais do Keychain em risco.

Um pesquisador de segurança demonstrou uma exploração que pode permitir que qualquer pessoa acesse nomes de usuário e senhas salvos sem acesso de administrador. Ele não vai compartilhar os detalhes com a Apple, no entanto, porque não há recompensa em oferta.

Através de seu programa de recompensa de bug, A Apple oferece recompensas quando as pessoas descobrem vulnerabilidades graves do iOS. Mas o mesmo mecanismo não se aplica ao macOS. É por isso que o pesquisador Linuz Henze não revelou os detalhes de uma falha recém-descoberta no Mojave.

No entanto, Henze - que conquistou um bom histórico ao identificar problemas no iOS - parece feliz em mostrar ao mundo exatamente o que a vulnerabilidade permite. E isso não é bom.

O exploit KeySteal rouba senhas do Mac Keychain

Usando um programa que Henze chama de KeySteal, ele capturou nomes de usuário e senhas salvos no macOS Keychain sem acesso de administrador.

Não faz diferença se listas de controle de acesso estão no lugar na máquina. Os Mac's Proteção de integridade do sistema não pode evitar isso também.

Aqui está um pequeno vídeo do KeySteal em ação:

Henze diz que o exploit pode ser usado para acessar todos os itens nas chaves de “login” e “Sistema”. No entanto, ele não pode acessar dados no iCloud Keychain, que armazena informações de forma diferente.

Pesquisador de segurança quer pressionar a Apple

Henze não divulgará suas descobertas para a Apple por causa de sua frustração com a falta de um programa de recompensa por bug para o macOS. Ele está encorajando outros pesquisadores a divulgar publicamente problemas de segurança também, para que possam pressionar a Apple a fazer uma mudança.

Não está claro se a Apple está ciente desse problema específico no Mojave - mas há algo que os usuários podem fazer para se proteger.

Como evitar o exploit KeySteal

Você pode bloquear exploits como o KeySteal, bloqueando as chaves de login com uma senha adicional. Você deve fazer isso manualmente porque não é protegido por padrão no macOS. A correção não é ideal porque significa solicitações infinitas de senha ao usar o Mac.

No entanto, é a única correção para essa vulnerabilidade do macOS por enquanto. Portanto, se você está preocupado com o problema, é sua única escolha.

Através da: Heise

click fraud protection

Categorias

Última postagem do blog

| Culto de Mac
October 21, 2021

Os melhores aplicativos de animação com lapso de tempo, aprender a ler e descontrair nesta semanaEsta semana, alguns apps ótimos para ficar em casa...

| Culto de Mac
September 10, 2021

“Acordem, usuários do Mac!” Um em cinco Macs carregam malwareOs usuários de Mac estão sendo instados a "acordar" e perceber que o malware é um prob...

Empilhe sua caixa de ferramentas de design da Web com o maior pacote de interface do usuário do mundo [ofertas]
September 11, 2021

Empilhe sua caixa de ferramentas de design da web com o maior pacote de interface do usuário do mundo [ofertas]Às vezes você precisa ter uma ferram...