MacOS heeft een nieuwe ernstige kwetsbaarheid die in wezen de wachtwoorden van uw computer wijd open laat om door hackers te worden gestolen. Zijn naam: KeySteal.
Hier kun je het in actie zien:
Voor het eerst gemeld door technologiepublicatie Heise Online, opent de kwetsbaarheid een deur om alle wachtwoorden in de "login" en "systeem"-sleutelhanger van uw Mac te stelen, waardoor u wijd openstaat voor aanvallen, zelfs als u beveiligingsmaatregelen hebt genomen zoals toegangscontrolelijsten en systeemintegriteitsbescherming met de nieuwste T2-beveiligingschip van Apple.
De KeySteal-exploit is ontdekt en aangekondigd door beveiligingsonderzoeker Linus Henze, een zelfverklaarde macOS- en iOS-fan die in het verleden andere kwetsbaarheden heeft ontdekt. Hij is ook lid van Sauercloud, een Duits computerbeveiligingsteam dat deelneemt aan het hacken van Capture The Flag-wedstrijden. Met andere woorden: zijn exploit is hoogstwaarschijnlijk niet verzonnen, maar zeer reëel.
De enige manier om de sleutelhanger van uw computer te beschermen, is door de inlogsleutelhanger te vergrendelen met een extra wachtwoord, wat ertoe leidt dat macOS u om dat wachtwoord vraagt telkens wanneer u bijna alles met uw computer probeert te doen.
Gelukkig wordt de iCloud-sleutelhanger niet beïnvloed. Er is nog geen nieuws dat Apple dit probleem erkent, maar we hebben contact met ze opgenomen en we werken dit artikel bij met wat ze zeggen.
Dit is de tweede grote inbreuk op de beveiliging van macOS Keychain, die in september 2022-2023 al een andere ernstige kwetsbaarheid had. Die opening werd gesloten door Apple, maar deze is nog niet - en het kan zijn dat er nog een hele tijd geen patch is.
De reden: Henze protesteert tegen Apple's gebrek aan beveiligingspremies voor macOS. Hoewel Apple beloningen biedt aan mensen die hackkwetsbaarheden in iOS vinden, biedt het niet hetzelfde programma voor macOS-computers. Henze vindt dit dom en oneerlijk - om nog maar te zwijgen van het gebrek aan serieuze betrokkenheid van Apple bij de beveiliging van hun computerbesturingssysteem - en heeft daarom besloten de bugprocedure niet te delen en anderen op te roepen hetzelfde te doen.
Het opzetten van bounty-programma's voor beveiligingslekken is een normale praktijk in de computerindustrie omdat het een verhoogde beveiliging bevordert, waardoor veel slimme mensen een reden hebben om hun tijd te investeren in het vinden van problemen. Zelfs Tesla van Elon Musk heeft zo'n programma om de veiligheid van zijn op internet aangesloten elektrische auto's te vergroten.
Dit bericht verscheen oorspronkelijk op Tom's Guide.
- Apple FaceTime-spionagebug: wat u moet weten
- Beste wachtwoordbeheerder - Lastpass versus Dashlane versus 1Password
- Moet u een wachtwoordbeheerder gebruiken?