De Sleutelhangertoegang (Keychain Access) is een erg prettige app in OS X, die er voor zorgt dat veel van onze wachtwoorden voor app en op het internet veilig bewaard worden. Hoewel, veilig?

De ontwikkelaar Juuso Salonen heeft een klein programma (500 regels code) ontwikkeld waarin hij laat zien dat als een programma eenmaal het wachtwoord in handen heeft het alle (!) wachtwoorden in Sleutelhangertoegang gemakkelijk kan achterhalen.



Het resultaat kan je hieronder zien:

$ sudo ./keychaindump

• Searching process 15 heap range 0x7fa809400000-0x7fa809500000
  
• Searching process 15 heap range 0x7fa809500000-0x7fa809600000
  
• Searching process 15 heap range 0x7fa809600000-0x7fa809700000
  
• Searching process 15 heap range 0x7fa80a900000-0x7fa80ac00000
  
• Found 17 master key candidates
  
• Trying to decrypt wrapping key in /Users/juusosalonen/Library/Keychains/login.keychain
  
• Trying master key candidate: b49ad51a672bd4be55a4eb4efdb90b242a5f262ba80a95df
  
• Trying master key candidate: 22b8aa80fa0700605f53994940fcfe9acc44eb1f4587f1ac
  
• Trying master key candidate: 1d7aa80fa0700f002005043210074b877579996d09b70000
  
• Trying master key candidate: 88edbaf22819a8eeb8e9b75120c0775de8a4d7da842d4a4a
  
• Found master key: 88edbaf22819a8eeb8e9b75120c0775de8a4d7da842d4a4a
  
• Found wrapping key: e9acc39947f1996df940fceb1f458ac74b877579f54409b7
  xxxxxxx:192.168.1.1:xxxxxxx
  xxxxxxx@gmail.com:login.facebook.com:xxxxxxx
  xxxxxxx@gmail.com:smtp.google.com:xxxxxxx
  xxxxxxx@gmail.com:imap.google.com:xxxxxxx
  xxxxxxx:twitter.com:xxxxxxx
  xxxxxxx@gmail.com:www.google.com:xxxxxxx
  xxxxxxx:imap.gmail.com:xxxxxxx
  …

Niet iets waar we erg blij van worden en iets waar Apple dan ook absoluut eens héél erg goed naar zal moeten kijken. In de tussentijd lijkt het verstandig om programma's die om je wachtwoord vragen terwijl er geen enkele reden voor is en die van een bron komen die je niet kent of niet erg vertrouwt, met argwaan te bekijken.

Het programma van Juuso Salonen heet Keychaindump en is hier te vinden. Het trouwens nog niet gecompileerd, dus dat zal je eerst moeten doen als je zelf wilt kijken wat bij jou het resultaat is.

Ik snap de uitleg niet. Als je 'het wachtwoord' in handen hebt, bedoel je dan 'het wachtwoord' van een beheerder met admin rechten ? Maar de beheerder heeft toch altijd al rechten om alles in Sleutelhangertoegang in te zien ?  

Dat is waar, maar het was (volgens mij) tot nu toe niet bekend dat als je dat beheerderswachtwoord aan een programma 'geeft', dat programma ook alle wachtwoorden in handen krijgt.

Een kwaadwillende programmeur zou zo erg makkelijk àl je wachtwoorden in handen kunnen krijgen...

Dit is een serieus gat/bug/stommiteit/flater wat zo snel als mogelijk dichtgetimmerd moet worden  

Het beheerders ww is toch uitsluitend ter verificatie voor het MAC OS dat jij toestemming geeft tot bijv. installatie van programmatuur. De desbetreffende installer slaat deze gegevens toch niet op en transponeert deze naar hun server?
Niettegenstaande dat komt het gebruik van sleutelhangertoegang er bij mij dus niet in. Waarom? Gezonde achterdocht jegens alle handige programma’s die mijn wachtwoorden beheren op mijn HD die bloot staat aan continue pogingen van WorldWideWeb tuig dat tracht mij een hak te zetten. Waar mijn wachtwoorden uitgezonderd admin en user(s) dan wel staan? Op een A4tje.

JGO om 11:59, 16-05-2013
Het beheerders ww is toch uitsluitend ter verificatie voor het MAC OS dat jij toestemming geeft tot bijv. installatie van programmatuur.

Dat dachten we tot nu toe en dat is ook de bedoeling daarvan, maar nu blijkt dus dat er meer mee kan...  

Dus als ik het goed begrijp:
Ik ben geïnteresseerd in programma X en download de Installer. Wat ik niet weet is dat programma X kwaadwillende code herbergt die, als ik toestemming verleen tot installatie, in Sleutelhangertoegang gaat vissen naar alle in Sleutelhangertoegang opgeslagen wachtwoorden en deze doorsluist naar een schorriemorrieserver X in een schurkenstaat?

@ JGO: inderdaad, dat is de (op dit moment theoretische) mogelijkheid. Mocht je zeker van willen zijn dat dat niet gebeurt dan zou je er voor kunnen kiezen om een programma als Little Snitch te kopen, daarmee weet je of een programma contact maakt en waarmee...

Is dit niet gewoon een probleem van iedere autorisatie door een programma van derden?

@ wimvanhelsdingen: inderdaad, maar het zou leuk zijn als Apple een app alleen toestemming zou geven als het wachtwoord ingevuld zou worden, zonder de app ook daadwerkelijk dat wachtwoord te geven...

Ik snap inmiddels hoe de vork aan de steel zit. De laatste inbreng van Robert is m.i. de spijker op zijn kop slaan.

Het addertje zit 'm ook in de installers die je tegenwoordig steeds vaker ziet. Om de één of andere reden "moeten" zelfs de meeste simpele programma's met een aparte installer geinstalleerd worden. En die vragen dan heel vaak om... jawel... het beheerders account en wachtwoord. En dat zullen de meesten ook getrouw inkloppen, want bij het installeren moet je wel vaker een wachtwoord geven.


Overigens moet ik wel zeggen dat het me opvalt dat veel (nieuwe) Mac gebruikers vaak maar 1 account op hun Mac houden (welke ook automatisch inlogt). Dat is het meest gevoelig voor een hack zoals in het artikel. Je kunt beter het account waarin je werkt beperken in rechten en een apart account houden voor het beheer en installeren van spullen. Zodra er tijdens normaal gebruik ineens om het beheerders account en wachtwoord wordt gevraagd, weet je direct dat je moet uitkijken.

Je kon toch altijd al een optie aanvinken laat wachtwoord zien in sleutelhanger (mits je admin rechten hebt):

http://www.tuaw.com/2008/09/25/mac-101-retrieve-your-keychain-passwords/ (bericht uit 2008)

Powerbooky om 18:40, 16-05-2013
Het addertje zit 'm ook in de installers die je tegenwoordig steeds vaker ziet. Om de één of andere reden "moeten" zelfs de meeste simpele programma's met een aparte installer geinstalleerd worden. En die vragen dan heel vaak om... jawel... het beheerders account en wachtwoord.

Het is niet de installer die vraagt om een wachtwoord. Het is het MacOs die verifieert of JIJ een installer de opdracht verleent voor installatie van software.

Robert om 10:54, 16-05-2013
Dat is waar, maar het was (volgens mij) tot nu toe niet bekend dat als je dat beheerderswachtwoord aan een programma 'geeft', dat programma ook alle wachtwoorden in handen krijgt.

Een kwaadwillende programmeur zou zo erg makkelijk àl je wachtwoorden in handen kunnen krijgen...

Dit is al bekend sinds de jaren 60 waarin UNIX ontwikkeld is. Als jij je beheerders[/b]-wachtwoord aan een applicatie geeft, dan kan deze applicatie alles[/b] doen. Dit is geen lek, geen bug, geen architecturaal probleem.... In het beste geval kan je dit een essentieel stuk informatie noemen dat de gemiddelde gebruiker niet weet.

Als je in de terminal je wachtwoord moet geven, impliceert dit dat je ergens sudo voor het gezet. sudo = superuser do, en de superuser (aka root) mag en kan alles. Gezien OS X deze regels ook moet volgen, is dit op het grafisch niveau ook zo.

Bij OS 1 - 9 was er totaaal niks van beveiliging, zelfs een rekenmachine had genoeg rechten om je hele schijf in te pakken, naar china te versturen en je computer te wissen zonder jou ook maar iets te moeten vragen

(Bewerkt door Zeef om 12:39, 17-05-2013)