Ex-NSA hacker: Wachtwoorden niet veilig op macOS
Wie zijn wachtwoorden op de Mac opslaat in de Sleutelhanger, loopt een groot risico. De wachtwoorden kunnen met een ongeregistreerde app door kwaadwillenden worden ingezien zonder over het hoofdwachtwoord te beschikken. Beveiligingsonderzoeker en ex-NSA hacker Patrick Wardle deed de ontdekking.
Kwetsbaar
In een video laat Wardle zien hoe hij met een zogenaamde ‘keychainstealer’ in een mum van tijd alle gegevens uit de Sleutelhanger vist. Tegenover de techsite ZDnet uit hij zijn zorgen over de kwetsbaarheid in onder meer het nieuwe macOS High Sierra. De keychainstealer kan onder meer via een mail op een computer worden gezet of onderdeel uitmaken van een betrouwbare app. „Als ik een aanvaller was, zou ik hier gebruik van maken.”
posted some informative Q&A about 🍎keychain bug: https://t.co/xBpWp8RpU7 Is it High Sierra only? Did you report to Apple? When Patched? etc.
— Patrick Wardle (@patrickwardle) September 26, 2017
Wardle heeft de bug begin deze maand gemeld bij Apple. „Helaas is het niet opgelost met de komst van High Sierra. Als gepassioneerd Mac-gebruiker raak ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Elke keer als ik het systeem onderzoek, vind ik weer iets nieuws.” Bovendien roept Apple dat macOS erg veilig is, maar dat is volgens hem onverantwoordelijk. „Nu denken consumenten dat hen niets kan overkomen. Daardoor zijn ze juist kwetsbaar.”
Apple laat in een officiële reactie weten dat macOS is ontworpen om veiligheid te bieden. Het techbedrijf benadrukt dat mensen alleen apps moeten downloaden uit de officiële Mac App Store en niet uit ongecontroleerde bronnen.” Of Apple een patch gaat uitbrengen om het elk te dichten, is nog onbekend.
Bekijk hieronder het filmpje: