A falha do macOS Mojave coloca suas senhas do Keychain em risco
![A falha do MacOS Mojave coloca suas senhas do Keychain em risco chaveiro macOS](/f/4885af82bf6aefa9a29035e639c32707.jpeg)
Foto: Killian Bell / Cult of Mac
Uma nova falha descoberta no macOS Mojave coloca seus dados confidenciais do Keychain em risco.
Um pesquisador de segurança demonstrou uma exploração que pode permitir que qualquer pessoa acesse nomes de usuário e senhas salvos sem acesso de administrador. Ele não vai compartilhar os detalhes com a Apple, no entanto, porque não há recompensa em oferta.
Através de seu programa de recompensa de bug, A Apple oferece recompensas quando as pessoas descobrem vulnerabilidades graves do iOS. Mas o mesmo mecanismo não se aplica ao macOS. É por isso que o pesquisador Linuz Henze não revelou os detalhes de uma falha recém-descoberta no Mojave.
No entanto, Henze - que conquistou um bom histórico ao identificar problemas no iOS - parece feliz em mostrar ao mundo exatamente o que a vulnerabilidade permite. E isso não é bom.
O exploit KeySteal rouba senhas do Mac Keychain
Usando um programa que Henze chama de KeySteal, ele capturou nomes de usuário e senhas salvos no macOS Keychain sem acesso de administrador.
Não faz diferença se listas de controle de acesso estão no lugar na máquina. Os Mac's Proteção de integridade do sistema não pode evitar isso também.
Aqui está um pequeno vídeo do KeySteal em ação:
Henze diz que o exploit pode ser usado para acessar todos os itens nas chaves de “login” e “Sistema”. No entanto, ele não pode acessar dados no iCloud Keychain, que armazena informações de forma diferente.
Pesquisador de segurança quer pressionar a Apple
Henze não divulgará suas descobertas para a Apple por causa de sua frustração com a falta de um programa de recompensa por bug para o macOS. Ele está encorajando outros pesquisadores a divulgar publicamente problemas de segurança também, para que possam pressionar a Apple a fazer uma mudança.
Não está claro se a Apple está ciente desse problema específico no Mojave - mas há algo que os usuários podem fazer para se proteger.
Como evitar o exploit KeySteal
Você pode bloquear exploits como o KeySteal, bloqueando as chaves de login com uma senha adicional. Você deve fazer isso manualmente porque não é protegido por padrão no macOS. A correção não é ideal porque significa solicitações infinitas de senha ao usar o Mac.
No entanto, é a única correção para essa vulnerabilidade do macOS por enquanto. Portanto, se você está preocupado com o problema, é sua única escolha.
Através da: Heise