Wszyscy wiemy, że systemy Apple są bezpieczne. Synchronizujemy hasła między Macbookiem, iPadem i iPhonem, nie przejmujemy się zewnętrznymi rozwiązaniami typu KeePassXC. W końcu jesteśmy bezpieczni, prawda?
Hasła są zaszyfrowane, a by móc je podejrzeć w aplikacji Keychain Access, trzeba podać swoje hasło do konta. Jak się okazuje – być może nie.
Niemiecki researcher Linus Henze poinformował, że znalazł błąd pozwalający dowolnej aplikacji dostać się do zawartości Keychain – i uzyskać dostęp do odszyfrowanych haseł. Swoje odkrycie opublikował na YouTube:
ale nie podał żadnych szczegółów dotyczących wykorzystanego błędu. Jak twierdzi – najpierw Apple powinno zadbać o bezpieczeństwo MacOSa idąc w ślady innych firm (oraz samego siebie – bo coś takiego dla iOS istnieje) i uruchomić program Bug Bounty. Czyli – w dużym skrócie – powinno zacząć płacić za zgłoszenie błędów w zabezpieczeniach systemu MacOS. Do momentu uruchomienia takiego programu, Linus odmawia przekazania szczegółów.
Brak dokładnych informacji o błędzie nie oznacza, że istnieje tylko w wyobraźni odkrywcy. Forbes cytuje innego specjalistę od bezpieczeństwa, Patricka Wardlego, który miał możliwość przetestowania exploitu. Jak twierdzi – działa.
Co robić, jak żyć?
Po pierwsze – nie panikować. Błąd prawdopodobnie jest, ale mało kto o nim wie. Po drugie – skoro wiadomo, że błąd jest – szukają go też inni. Więc warto się przez chwilę powstrzymać przed instalacją nowych aplikacji z nieznanych źródeł. Oraz (co polecam niezależnie od tego) – zainteresować się alternatywnymi sposobami zapisywania haseł. Tak – keychain jest bardzo wygodny. Ale – pomijając inne kwestie – strasznie trudno się z niego wyeksportować w momencie, gdy zmieniamy system operacyjny…
Po trzecie – atak działa tylko na „odblokowanym” keychain. Więc warto go przestawić tak, by domagał się hasła, jeśli z niego nie korzystamy. W tym celu należy uruchomić aplikację Keychain Access, a następnie albo kliknąć prawym przyciskiem myszy na nazwie zbioru kluczy po lewej stronie i wybrać opcję „Lock Keychain”, albo wybrać z menu Edit opcję „change settings for keychain…” i włączyć automatyczne blokowanie keychaina po upływie określonego czasu.
Źródła: