Twoje hasła w MacOS nie są bezpieczne

Wszyscy wiemy, że systemy Apple są bezpieczne. Synchronizujemy hasła między Macbookiem, iPadem i iPhonem, nie przejmujemy się zewnętrznymi rozwiązaniami typu KeePassXC. W końcu jesteśmy bezpieczni, prawda?

Hasła są zaszyfrowane, a by móc je podejrzeć w aplikacji Keychain Access, trzeba podać swoje hasło do konta. Jak się okazuje – być może nie.

Niemiecki researcher Linus Henze poinformował, że znalazł błąd pozwalający dowolnej aplikacji dostać się do zawartości Keychain – i uzyskać dostęp do odszyfrowanych haseł. Swoje odkrycie opublikował na YouTube:

ale nie podał żadnych szczegółów dotyczących wykorzystanego błędu. Jak twierdzi – najpierw Apple powinno zadbać o bezpieczeństwo MacOSa idąc w ślady innych firm (oraz samego siebie – bo coś takiego dla iOS istnieje) i uruchomić program Bug Bounty. Czyli – w dużym skrócie – powinno zacząć płacić za zgłoszenie błędów w zabezpieczeniach systemu MacOS. Do momentu uruchomienia takiego programu, Linus odmawia przekazania szczegółów.

Brak dokładnych informacji o błędzie nie oznacza, że istnieje tylko w wyobraźni odkrywcy. Forbes cytuje innego specjalistę od bezpieczeństwa, Patricka Wardlego, który miał możliwość przetestowania exploitu. Jak twierdzi – działa.

Co robić, jak żyć?
Po pierwsze – nie panikować. Błąd prawdopodobnie jest, ale mało kto o nim wie. Po drugie – skoro wiadomo, że błąd jest – szukają go też inni. Więc warto się przez chwilę powstrzymać przed instalacją nowych aplikacji z nieznanych źródeł. Oraz (co polecam niezależnie od tego) – zainteresować się alternatywnymi sposobami zapisywania haseł. Tak – keychain jest bardzo wygodny. Ale – pomijając inne kwestie – strasznie trudno się z niego wyeksportować w momencie, gdy zmieniamy system operacyjny…

Po trzecie – atak działa tylko na „odblokowanym” keychain. Więc warto go przestawić tak, by domagał się hasła, jeśli z niego nie korzystamy. W tym celu należy uruchomić aplikację Keychain Access, a następnie albo kliknąć prawym przyciskiem myszy na nazwie zbioru kluczy po lewej stronie i wybrać opcję „Lock Keychain”, albo wybrać z menu Edit opcję „change settings for keychain…” i włączyć automatyczne blokowanie keychaina po upływie określonego czasu.

Źródła:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →