MacOS ma nową poważną lukę, która zasadniczo pozostawia hasła do komputera szeroko otwarte, aby mogły zostać skradzione przez hakerów. Jego nazwa: KeySteal.
Tutaj możesz zobaczyć to w akcji:
Po raz pierwszy zgłoszona przez publikację technologiczną Heise Online, luka w zabezpieczeniach otwiera drzwi do kradzieży wszystkich haseł z pęku kluczy „logowania” i „systemu” komputera Mac, co pozostawia cię szeroko otwartym na ataki, nawet jeśli masz środki bezpieczeństwa, takie jak listy kontroli dostępu i ochrona integralności systemu przy użyciu najnowszego układu zabezpieczającego T2 firmy Apple.
Exploit KeySteal został odkryty i ogłoszony przez badacza bezpieczeństwa Linusa Henze, samozwańczego fana macOS i iOS, który w przeszłości odkrył inne luki w zabezpieczeniach. Jest także członkiem Sauercloud, niemieckiego zespołu ds. bezpieczeństwa komputerowego, który bierze udział w hakerskich konkursach Capture The Flag. Innymi słowy: jego wyczyn najprawdopodobniej nie jest wymyślony, ale bardzo realny.
Jedynym sposobem ochrony pęku kluczy komputera jest zablokowanie pęku kluczy logowania dodatkowym hasłem, co spowoduje, że macOS będzie pytał o to hasło za każdym razem, gdy spróbujesz zrobić prawie wszystko z komputerem.
Na szczęście nie ma to wpływu na pęk kluczy iCloud. Nie ma jeszcze żadnych wiadomości o tym, że Apple potwierdziło ten problem, ale skontaktowaliśmy się z nimi i aktualizujemy ten artykuł o wszystko, co mówią.
Jest to drugie duże naruszenie bezpieczeństwa macOS Keychain, które już we wrześniu 2022-2023 miało kolejną poważną lukę. To otwarcie zostało zamknięte przez Apple, ale to jeszcze nie zostało – i może nie zostać załatane przez dłuższy czas.
Powód: Henze protestuje przeciwko brakowi nagród bezpieczeństwa Apple dla macOS. Chociaż Apple oferuje nagrody osobom, które znajdą luki hakerskie w systemie iOS, nie oferuje tego samego programu dla komputerów z systemem macOS. Henze uważa, że jest to głupie i niesprawiedliwe – nie wspominając o braku poważnego zaangażowania Apple w bezpieczeństwo ich systemu operacyjnego – i dlatego postanowił nie udostępniać procedury błędu, wzywając innych do zrobienia tego samego.
Tworzenie programów nagród za luki w zabezpieczeniach jest regularną praktyką w branży komputerowej, ponieważ promuje zwiększone bezpieczeństwo, dając wielu inteligentnym ludziom powód do zainwestowania czasu w znajdowanie problemów. Nawet Tesla Elona Muska ma taki program, aby zwiększyć bezpieczeństwo swoich samochodów elektrycznych podłączonych do Internetu.
Ten post pierwotnie pojawił się w Tom's Guide.
- Błąd szpiegowania Apple FaceTime: co musisz wiedzieć
- Najlepszy menedżer haseł - Lastpass vs. Dashlane vs. 1Password
- Czy powinieneś używać menedżera haseł?