Недостаток macOS Mojave подвергает риску ваши пароли связки ключей
Новый недостаток, обнаруженный в macOS Mojave, ставит под угрозу ваши конфиденциальные данные Связки ключей.
Один исследователь безопасности продемонстрировал эксплойт, который может позволить любому получить доступ к сохраненным именам пользователей и паролям без доступа администратора. Однако он не станет делиться подробностями с Apple, потому что вознаграждения нет.
Через его программа вознаграждения за ошибки, Apple выплачивает вознаграждение, когда люди обнаруживают серьезные уязвимости iOS. Но тот же механизм не распространяется на macOS. Вот почему исследователь Линуз Хенце не раскрывает подробностей недавно обнаруженного изъяна в Мохаве.
Однако Хенце, который хорошо зарекомендовал себя, выявляя проблемы с iOS, кажется, счастлив показать миру, что именно позволяет уязвимость. И это нехорошо.
Эксплойт KeySteal крадет пароли связки ключей Mac
Используя программу, которую Хенце называет KeySteal, он успешно перехватил имена пользователей и пароли, сохраненные в связке ключей macOS без доступа администратора.
Нет никакой разницы, если списки контроля доступа находятся на месте на машине. Mac Защита целостности системы тоже не могу этого предотвратить.
Вот короткое видео о KeySteal в действии:
Хенце говорит, что эксплойт можно использовать для доступа ко всем элементам цепочек ключей «логин» и «система». Однако он не может получить доступ к данным в связке ключей iCloud, в которой информация хранится по-другому.
Исследователь безопасности хочет оказать давление на Apple
Хенце не будет раскрывать свои выводы Apple, потому что разочарован отсутствием программы вознаграждения за ошибки для macOS. Он призывает других исследователей также публично сообщать о проблемах безопасности, чтобы они могли оказать давление на Apple, чтобы они внесли изменения.
Неясно, знает ли Apple об этой конкретной проблеме в Мохаве, но есть кое-что, что пользователи могут сделать, чтобы защитить себя.
Как предотвратить эксплойт KeySteal
Вы можете заблокировать эксплойты, такие как KeySteal, заблокировав цепочку ключей входа в систему с помощью дополнительного пароля. Вы должны сделать это вручную, потому что по умолчанию в macOS он не защищен. Исправление не идеально, потому что оно означает бесконечные запросы пароля при использовании вашего Mac.
Однако на данный момент это единственное исправление этой уязвимости macOS. Так что если вы беспокоитесь о проблеме, это ваш единственный выбор.
С помощью: Heise