Hack voor Sleutelhangertoegang gevonden
Terwijl Apple net macOS High Sierra (10.13) heeft uitgebracht kwam er ook wat minder goed nieuws naar buiten. Want Patrick Wardle, vroeger hacker voor de NSA en nu Chief Security Researcher bij het bedrijf Synack, heeft
ontdekt dat het mogelijk is om je wachtwoorden uit je Sleutelhanger te halen. Gewoon leesbaar, dus zonder versleuteling.
Er is waarschijnlijk geen programma waar de veiligheid belangrijker voor is dan Sleutelhangertoegang, daarin staan nu eenmaal veel van onze wachtwoorden opgeslagen en daar zou iemand met snode plannen dus ook veel ellende mee kunnen veroorzaken.
In de demo hierboven zie je wel dat iedereen die zijn verstand erbij houdt hier waarschijnlijk niet in zou trappen, want je moet eerst iets naar binnen halen (waarschijnlijk van een dubieuze bron) en daarna ook nog eens een waarschuwing van Apple's Gatekeeper negeren. Dat is dan ook
de reactie van Apple:
MacOS is designed to be secure by default, and Gatekeeper warns users against installing unsigned apps, like the one shown in this proof of concept, and prevents them from launching the app without explicit approval. We encourage users to download software only from trusted sources like the Mac App Store, and to pay careful attention to security dialogs that MacOS presents.
Ondertussen wordt er bij Apple natuurlijk wel gewerkt aan een oplossing. Want ondanks de stoere taal hierboven zijn ze natuurlijk niet blij met zo'n hack, en weten ze ook dat er altijd een percentage van de gebruikers zal zijn die de meeste waarschuwingen in de wind zal slaan.
De demo hierboven vindt trouwens plaats in High Sierra, maar Patrick Wardle zou deze hack waarschijnlijk ook in oudere versies van macOS werken. We hopen dan ook dat iedereen deze waarschuwing als knoop in de zakdoek gebruikt, een gewaarschuwd mens zou tenslotte voor twee moeten tellen.
met dank aan forumlid 'Spooter', die als eerste dit nieuws op ons forum meldde
Gast
