MacOS har en ny allvarlig sårbarhet som i huvudsak lämnar datorns lösenord öppna för att bli stulna av hackare. Dess namn: KeySteal.
Här kan du se det i aktion:
Först rapporterad av teknikpublikationen Heise Online, sårbarheten öppnar en dörr för att stjäla alla lösenord i din Macs "inloggning" och "System" nyckelring, vilket gör att du är öppen för attacker även om du har säkerhetsåtgärder som åtkomstkontrollistor och systemintegritetsskydd med Apples senaste T2 -säkerhetschip.
KeySteal-exploateringen upptäcktes och tillkännagavs av säkerhetsforskaren Linus Henze, en självdeklarerad macOS- och iOS-fan som har upptäckt andra sårbarheter tidigare. Han är också medlem i Sauercloud, ett tyskt datasäkerhetsteam som deltar i hackning av Capture The Flag -tävlingar. Med andra ord: hans utnyttjande är förmodligen inte påhittat, men väldigt verkligt.
Det enda sättet att skydda din dators nyckelring är att låsa inloggningsnyckelringen med ett extra lösenord, vilket resulterar i att macOS ber dig om det lösenordet varje gång du försöker göra nästan vad som helst med din dator.
Lyckligtvis påverkas inte iCloud -nyckelringen. Det finns inga nyheter om att Apple erkänner detta problem ännu, men vi har kontaktat dem och vi uppdaterar den här artikeln med vad de än säger.
Detta är det andra stora intrånget i macOS Keychains säkerhet, som redan under september2022-2023 led en annan allvarlig sårbarhet. Den öppningen stängdes av Apple, men den här har inte gjort det ännu - och det kanske inte kommer att lappas på ganska länge.
Anledningen: Henze protesterar mot Apples brist på säkerhetspriser för macOS. Även om Apple erbjuder belöningar till personer som upptäcker hackningssårbarheter i iOS, erbjuder det inte samma program för macOS -datorer. Henze tycker att det här är dumt och orättvist - för att inte tala om att det är Apples bristande seriösa engagemang för datorns operativsystems säkerhet - och har därför beslutat att inte dela buggproceduren och uppmanar andra att göra detsamma.
Att inrätta säkerhetshålsprogram är en vanlig praxis i datorindustrin eftersom det främjar ökad säkerhet, vilket ger många smarta människor en anledning att investera sin tid i att hitta problem. Även Elon Musks Tesla har ett sådant program på plats för att öka säkerheten för hans internetanslutna elbilar.
Det här inlägget visades ursprungligen på Tom's Guide.
- Apple FaceTime Spying Bug: Vad du behöver veta
- Bästa Password Manager - Lastpass vs. Dashlane vs. 1Password
- Ska du använda en lösenordshanterare?