Το MacOS έχει μια νέα σοβαρή ευπάθεια που ουσιαστικά αφήνει τους κωδικούς πρόσβασης του υπολογιστή σας ανοιχτούς για να τους κλέψουν οι χάκερ. Το όνομά του: KeySteal.
Εδώ μπορείτε να το δείτε σε δράση:
Πρώτη αναφορά από την τεχνολογική έκδοση Heise Online, η ευπάθεια ανοίγει μια πόρτα για να κλέψει όλους τους κωδικούς πρόσβασης στο μπρελόκ "login" και "System" του Mac σας, το οποίο σας αφήνει ανοιχτό να επιτεθείτε, ακόμη και αν έχετε μέτρα ασφαλείας, όπως Λίστες Ελέγχου Πρόσβασης και Προστασία Ακεραιότητας Συστήματος χρησιμοποιώντας το τελευταίο τσιπ ασφαλείας T2 της Apple.
Η εκμετάλλευση KeySteal ανακαλύφθηκε και ανακοινώθηκε από τον ερευνητή ασφάλειας Linus Henze, έναν αυτοανακηρυγμένο οπαδό του macOS και του iOS, ο οποίος έχει ιστορικό ανακάλυψης άλλων τρωτών σημείων στο παρελθόν. Είναι επίσης μέλος της Sauercloud, μιας γερμανικής ομάδας ασφάλειας υπολογιστών που συμμετέχει στο hacking των διαγωνισμών Capture The Flag. Με άλλα λόγια: το κατόρθωμά του πιθανότατα δεν είναι κατασκευασμένο, αλλά πολύ πραγματικό.
Ο μόνος τρόπος για να προστατέψετε το μπρελόκ του υπολογιστή σας είναι να κλειδώσετε το μπρελόκ σύνδεσης με έναν επιπλέον κωδικό πρόσβασης, το οποίο θα έχει ως αποτέλεσμα το macOS να σας ζητά αυτόν τον κωδικό πρόσβασης κάθε φορά που προσπαθείτε να κάνετε σχεδόν οτιδήποτε με τον υπολογιστή σας.
Ευτυχώς, το μπρελόκ iCloud δεν επηρεάζεται. Δεν υπάρχουν νέα σχετικά με την Apple που αναγνωρίζει αυτό το πρόβλημα, αλλά έχουμε επικοινωνήσει μαζί τους και ενημερώνουμε αυτό το άρθρο με ό, τι λένε.
Αυτή είναι η δεύτερη μεγάλη παραβίαση της ασφάλειας του macOS Keychain, η οποία υπέστη ήδη μια άλλη σοβαρή ευπάθεια τον Σεπτέμβριο2021-2022. Αυτό το άνοιγμα έκλεισε από την Apple, αλλά αυτό δεν έχει κλείσει ακόμα - και μπορεί να μην έχει διορθωθεί για αρκετό καιρό.
Ο λόγος: Ο Henze διαμαρτύρεται για την έλλειψη προνομίων ασφάλειας της Apple για το macOS. Ενώ η Apple προσφέρει ανταμοιβές σε άτομα που βρίσκουν αδυναμίες hacking στο iOS, δεν προσφέρει το ίδιο πρόγραμμα για υπολογιστές macOS. Ο Henze πιστεύει ότι αυτό είναι χαζό και άδικο - για να μην αναφέρουμε ενδεικτικά την έλλειψη σοβαρής δέσμευσης της Apple για την ασφάλεια του λειτουργικού συστήματος των υπολογιστών τους - και ως εκ τούτου αποφάσισε να μην μοιραστεί τη διαδικασία σφάλματος, καλώντας άλλους να κάνουν το ίδιο.
Η καθιέρωση προγραμμάτων bounty ασφαλείας είναι μια συνηθισμένη πρακτική στη βιομηχανία υπολογιστών, επειδή προάγει την αυξημένη ασφάλεια, δίνοντας σε πολλούς έξυπνους ανθρώπους έναν λόγο να επενδύσουν το χρόνο τους στην εξεύρεση προβλημάτων. Ακόμα και το Tesla του Elon Musk έχει ένα τέτοιο πρόγραμμα για να αυξήσει την ασφάλεια των ηλεκτρικών αυτοκινήτων του που συνδέονται στο Διαδίκτυο.
Αυτή η ανάρτηση εμφανίστηκε αρχικά στον Tom's Guide.
- Apple FaceTime Spying Bug: Τι πρέπει να γνωρίζετε
- Καλύτερος Διαχειριστής κωδικών πρόσβασης - Lastpass εναντίον Dashlane έναντι 1Password
- Πρέπει να χρησιμοποιήσετε έναν Διαχειριστή κωδικών πρόσβασης;