MacOS har et nytt alvorlig sårbarhet som i hovedsak lar datamaskinens passord stå åpne for å bli stjålet av hackere. Navnet: KeySteal.
Her kan du se det i aksjon:
Sårbarheten ble først rapportert av teknologipublikasjonen Heise Online, og åpner en dør for å stjele alle passordene i din Macs “pålogging” og “System” nøkkelring, noe som gjør at du er åpen for angrep selv om du har sikkerhetstiltak som tilgangskontrollister og systemintegritetsbeskyttelse ved hjelp av Apples siste T2 -sikkerhetsbrikke.
KeySteal-utnyttelsen ble oppdaget og kunngjort av sikkerhetsforsker Linus Henze, en selvdeklarert macOS- og iOS-fan som har oversikt over å oppdage andre sårbarheter tidligere. Han er også medlem av Sauercloud, et tysk datasikkerhetsteam som deltar i hacking Capture The Flag -konkurranser. Med andre ord: utnyttelsen hans er sannsynligvis ikke gjort opp, men veldig ekte.
Den eneste måten å beskytte datamaskinens nøkkelring er å låse påloggingsnøkkelringen med et ekstra passord, noe som vil resultere i at macOS ber deg om det passordet hver gang du prøver å gjøre nesten alt med datamaskinen din.
Heldigvis påvirkes ikke iCloud -nøkkelringen. Det er ingen nyheter om at Apple erkjenner dette problemet ennå, men vi har kontaktet dem og vi oppdaterer denne artikkelen med det de sier.
Dette er det andre store bruddet på sikkerheten til macOS Keychain, som allerede pådro seg et annet alvorlig sårbarhet i september2021-2022. Åpningen ble lukket av Apple, men denne har ikke gjort det enda - og det kan hende at det ikke blir lappet på ganske lang tid.
Årsaken: Henze protesterer mot Apples mangel på sikkerhetsgoder for macOS. Selv om Apple tilbyr belønninger til folk som finner hackingssårbarheter i iOS, tilbyr det ikke det samme programmet for macOS -datamaskiner. Henze synes dette er dumt og urettferdig - for ikke å snakke om Apples manglende seriøse engasjement for datasystemets sikkerhet - og har derfor besluttet å ikke dele feilprosedyren, og oppfordret andre til å gjøre det samme.
Etablering av sikkerhetshullpremier er en vanlig praksis i datamaskinindustrien fordi det fremmer økt sikkerhet, noe som gir mange smarte mennesker en grunn til å investere tiden sin i å finne problemer. Selv Elon Musks Tesla har et slikt program på plass for å øke sikkerheten til sine internett-tilkoblede elbiler.
Dette innlegget dukket opprinnelig opp på Tom's Guide.
- Apple FaceTime Spying Bug: Hva du trenger å vite
- Beste passordbehandling - Lastpass vs. Dashlane vs. 1Password
- Bør du bruke en Password Manager?