Kwetsbaarheid in macOS-Sleutelhanger geeft wachtwoorden vrij
De wachtwoorden kun je normaal alleen bekijken als je een wachtwoord invoert en ze zijn bovendien versleuteld, maar door een kwetsbaarheid in macOS Mojave 10.14.3 kun je toch ongewild toegang krijgen tot de Sleutelhanger-wachtwoorden. Kwaadaardige apps van derden kunnen op die manier de inhoud van de Sleutelhanger uitlezen en kopiëren, zonder dat daarvoor een admin-wachtwoord nodig is.
In een video laat Linus Henze nu zien hoe dat werkt. Henze zal de details pas aan Apple overdragen als hij hem een beloning in het vooruitzicht wordt gesteld. Apple heeft een Bug Bounty-programma waarbij mensen die een lek ontdekken een aardig geldbedrag kunnen krijgen, maar die geldt niet voor kwetsbaarheden in macOS.
Het gaat om een zero day exploit die alle Sleutelhanger-wachtwoorden van macOS Mojave en eerdere versies kan uitlezen, ook als je geen admin-rechten hebt en niet over het root-wachtwoord beschikt. Sterker nog: er wordt niet eens om een wachtwoord gevraagd.
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple— Linus Henze (@LinusHenze) February 3, 2019
In september 2017 ontdekte beveiligingsonderzoeker Patrick Wardle een soortgelijke bug. Wardle ontdekte overigens nog wel meer lekken, zoals nieuwe varianten van de Mac-malware Fruitfly 2 en Mac-malware die met onzichtbare muisklikken je gegevens kan stelen. Van Linus Henze hadden we echter nog nooit gehoord. Wel maakte hij in december 2018 een Safari-bug voor iOS bekend.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Apple brengt tweede beta van macOS Sequoia 15.5 voor ontwikkelaars uit (en eerste voor publieke testers) (14-04)
- Apple zet automatische updates vanzelf aan in iOS 18.4 en macOS Sequoia 15.4 (03-04)
- Apple brengt macOS Sequoia 15.4 uit: dit is er nieuw op je Mac (31-03)
- Apple ontwikkelt MacBook Pro met M5-chip: wordt later dit jaar nog verwacht (31-03)
- Vooruitblik: dit zijn onze 10 verwachtingen van de WWDC 2025 (26-03)