Poważna luka w macOS: nastolatek pokazał, jak wyciągnąć wszystkie loginy i hasła
Wśród zalet macOS często wymienia się wysoki poziom bezpieczeństwa. Jednakże przyglądając się ostatnim lukom, można odnieść wrażenie, że jakość oprogramowania Apple pozostawia jednak wiele do życzenia. W macOS było bowiem możliwe uzyskanie dostępu do roota bez podawania hasła. Natomiast teraz, z użyciem jednego narzędzia, można wyciągnąć wszystkie zapisane hasła.
07.02.2019 | aktual.: 07.02.2019 15:49
Wystarczy uruchomić program
Niemiecki specjalista ds. bezpieczeństwa, Linuz Henze, udostępnił nowe wideo, w którym przedstawia możliwości narzędzia o nazwie KeySteal. Oprogramowanie służy do wydobycia loginów i haseł przechowywanych w pęku kluczy w najnowszym macOS Mojave. Warto zwrócić uwagę, że narzędzie nie wymaga uprawnień administratora do działania. Wystarczy je po prostu uruchomić, aby po chwili uzyskać listę z wrażliwymi danymi.
KeySteal - Stealing your keychain passwords on macOS Mojave
Jak zwraca uwagę serwis 9to5Mac, Linuz Henze ma już na koncie odnalezienie potwierdzonych luk w iOS. Jednak tym razem, ze względu na politykę prowadzoną przez Apple, badacz nie zamierza udostępnić informacji o nowym odkryciu. Firma Tima Cooka w ramach programu nagród za znalezione luk i błędów przyznaje nagrody wyłącznie w przypadku iOS-a, natomiast macOS nie jest tu uwzględniany.
Apple nie otrzyma informacji o luce w macOS
Linuz Henze, w oświadczeniu opublikowanym przez Forbesa, wyjaśnia przyjętą postawę. Słusznie zaznacza, że odkrywanie luk wymaga poświęcenia czasu i często trwa to naprawdę długo. Ponadto, odkrywając luki w oprogramowaniu i przekazując informacje bezpośrednio Apple, wykonuje się pracę, która pozytywnie przekłada się na jakość oprogramowania, często tworzonego przez dobrze opłacanym programistów.
Warto zwrócić uwagę, że pęk kluczy w macOS przechowuje m.in. dane logowanie do iCloud, więc całego konta Apple, często podłączonego do komputera z macOS, a także do iPhone’a lub iPada. Pęk kluczy to również magazyn na hasła do zainstalowanych aplikacji i dane logowania do stron internetowych w przeglądarce Safari. Jak najbardziej, narzędzie KeySteal może wyciągnąć loginy i hasła do Facebooka, Netfliksa czy poczty e-mail.
Według niemieckiej strony Heise Online, która kontaktowała się z Henze, narzędzie pozwala zdobyć loginy i hasła przechowywane lokalnie w macOS. Jednakże, nie zapewnia dostępu do pęku kluczy trzymanego w iCloud.
Co ciekawe, ponownie luka w oprogramowaniu Apple została odkryta przez nastolatka. Linuz Henze ma bowiem zaledwie 18 lat. Natomiast w ubiegłym tygodniu, 14-latek znalazł błąd w usłudze FaceTime, który pozwala podsłuchiwać innych użytkowników iPhone’ów. Jednakże, ze względu na występowanie luki w iOS, drugi nastolatek otrzyma wysoką nagrodę. Od strony sprzętu Apple też ma problemy – Adobe Premiere może uszkodzić głośniki MacBooka Pro.