Het duurde lang voordat er in Cupertino werd besloten om geld te geven voor hacks, en nog altijd gaat Apple daar relatief erg zuinig mee om. Voor iOS wordt er een maximum van 200.000 dollar betaald, terwijl er elders makkelijk meer dan een miljoen voor te krijgen is, en voor macOS betaalt Apple helemaal niets.

Dat laatste is de reden dat Linus Hanze een demo naar buiten heeft gebracht van een app die wachtwoorden uit Sleutelhangertoegang (Keychain) kan halen. In onderstaande video kan je zien dat die werkt op macOS 10.14.3, dus deze kwetsbaarheid is nog niet gerepareerd. En omdat Linus dus heeft besloten dit niet met Apple te delen zolang ze in Cupertino de Mac hierbij lager inschalen dan iDevices, is niet duidelijk hoelang het nog zal duren voordat dit gerepareerd wordt.


Deze hack werkt trouwens alleen binnen macOS, Linus Hanze zelf vertelt dat het niet werkt op de iCloud Sleutelhanger.

In de tussentijd kan je jezelf extra beschermen door ervoor te kiezen om Sleutelhangertoegang zich vanzelf altijd te laten vergrendelen. Dat doe je door Sleutelhangertoegang te openen, waarna je met de rechtermuis of control-klik het contextuele menu opent onder Inloggen.

Dan kies je dan voor de optie Wijzig instelling voor sleutelhanger ‘Inloggen’, waarna je kan kiezen na hoeveel tijd je wilt dat je sleutelhanger automatisch zichzelf vergrendelt, en of dat ook moet gebeuren als je Mac in sluimerstand gaat.



klik op de afbeeldingen voor een grotere versie



Deze hack is voor zover bekend nog niet ‘in het wild’ gesignaleerd, en de kans dat dit binnenkort zo zal zijn lijkt erg klein. Bovenstaande uitleg is dan ook alleen voor mensen die het zeker voor het onzekere willen nemen. De aanpassingen hierboven betekenen wel dat je voortaan bij het invullen van wachtwoorden in Safari daar wel eerst toestemming voor moet geven door het wachtwoord voor jouw Mac in te vullen en dat je na het opstarten van je Mac aan een heleboel processen van Apple toestemming zal moeten geven.

Wil je jouw Mac nog verdergaand beveiligen, dan kan je ook nog het wachtwoord van het beheerders-account voor jouw Mac veranderen, zonder het wachtwoord voor je sleutelhanger aan te passen. Let op, vanaf dat moment heb je een wachtwoord voor je Mac en een ander wachtwoord voor je sleutelganger, die je dus ook allebei zal moeten onthouden.



Maandelijks trekt MacFreak meer dan 60.000 mensen die hier gemiddeld 5 minuten zijn. Interesse om die met advertenties of door sponsoring te bereiken? Meer informatie daarover op deze pagina.

De kwetsbaarheid zat hem toch juist erin dat een hacker geen wachtwoord nodig heeft om de gegevens uit de sleutelhanger te trekken? Dus, dan is deze tip zinloos. Of mis ik iets?

Misschien heb ik het verkeerd begrepen, maar in de demo in het filmpje worden de wachtwoorden uit de Sleutelhanger gehaald terwijl die open staat.

"Der Angriff auf die sensiblen Daten setzt voraus, dass der Schlüsselbund entsperrt ist: Das ist bei der Keychain "Anmeldung" standardmäßig der Fall, sobald der Anwender sich angemeldet hat."

Klopt dus Robert, de hack vereist een keychain die unlocked is, iets dat standaard het geval is als je ingelogd bent. De tip is dus wel degelijk effectief als je hier bang voor bent. Ik denk de kans klein is dat Linus Hanze hier kwaad mee wil zeker nu hij bekend is. Het feit dat het kán zal andere hackers wel motiveren om dit ook voor elkaar te krijgen.

Wat mij nog niet duidelijk is: kan dit alleen als iemand fysieke toegang heeft tot je Mac, of ook via een geïnfecteerde website of email? Dat lees in nml. nergens.

Dat lees je niet omdat er nog weinig over te zeggen valt. Linus Hanze gebruikt een eigen app, dus dat vereist fysieke toegang. Afhankelijk van het principe waarop de hack werkt (dat weten we niet) zou dat eventueel ook in een virus gestopt kunnen worden. Zover is het nog lang niet, en daarvoor gelden de gebruikelijk voorzorgsmaatregelen. Zolang jij veilig en verstandig met je Mac omgaat hoef je je geen zorgen te maken.

Aan het eind van het nieuwsbericht zijn nog twee alinea's toegevoegd om het allemaal zowel duidelijker als vollediger te maken.

Nu vraag ik me toch af: ik ben ingelogd op mijn El Capitan, mijn Sleutelhanger staat dus open.

Maar voor root toegang moet ik nog steeds mijn wachtwoord ingeven.

Ben ik dan zo kwetsbaar?

Ben ik dan zo kwetsbaar?

Geheel correct en tevens juist.

Kan je je wat nader verklaren?
Ingelogd als admin is mijn Sleutelhanger kwetsbaar?
Ook al behoeft die mijn root wachtwoord om andere wachtwoorden te laten zien?

Ben ik dan zo kwetsbaar?

lijkt me niet, want er moet fysieke toegang mogelijk zijn.

Fascinerend trouwens: naar aanleiding van dit draadje heb ik mijn Sleutelhanger extra gelocked.

Sindsdien word ik steevast geplaagd door dit:



Malwarebytes zegt dat mijn Macje clean is, maar WTF is "Loop", en waar komt deze melding vandaan?

En ho maar, ik krijg een bende meldingen van allerlei apps binnen die in mijn Sleutelhanger willen kijken.

WTF?

Sindsdien word ik steevast geplaagd .......

ik heb het vanmorgen ook aangezet.
wat er allemaal langs komt .........
je wil het niet weten
dus maar weer uit gezet, moest zelfs opnieuw opstarten, om d'r vanaf te komen.

Ik wil dit niet weten, maar hopelijk is dit (Loop, AddressBookSourceSync, accountsd et al) allemaal van Apple...

De basic Keychain zet ik ook weer open, want dit geschrei op mijn desktop is niet werkbaar.

MacFreak heeft hier duidelijk weer een vraagstuk aangeboord, vraagstuk waar ik voorlopig niet mee weg kan.

Ik denk dat de tip in het artikel, hoewel goedbedoeld, niet heel handig is. En vooralsnog is deze extra 'bescherming' helemaal niet nodig.

Ik moest niet opnieuw opstarten, maar het was wel even kopje krabben.
Mijn wachtwoorden zitten namelijk verborgen onder een andere character set...

Ik denk dat de tip in het artikel, hoewel goedbedoeld, niet heel handig is. En vooralsnog is deze extra 'bescherming' helemaal niet nodig.

Ah, OK, dank je boiing!

maar het was wel weer een leuke en leerzame oefening

Oh yeah! Daar gaan we voor, niet?

Na het lezen van dit artikel, heb ik de sleutelhanger in de cloud ingesteld. Kan ik nu de sleutelhanger op de mac volledig uitschakelen? Desnoods alle keychains directorys verwijderen?

Ehh, nee. De Keychain is deel van macOS. Je kunt wel in de Keychain app wachtwoorden of keychains verwijderen. Het lijkt erop dat je verkeerd denkt: de oplossing voor genoemde hack is niet je iCloud keychain aanzetten. Wat er bedoeld wordt is dat de wachtwoorden in je iCloud keychain met deze methode niet te achterhalen zijn.

In de Keychain app kun je in de linkerkantlijn zien welke wachtwoorden in je iCloud keychain staan en welke in de 'login' en 'system' keychain.