Keychain-lek in macOS laat applicaties wachtwoorden stelen
Beveiligingsonderzoeker Patrick Wardle heeft een beveiligingslek in macOS onthuld waardoor een kwaadaardige applicatie wachtwoorden die in de Keychain zijn opgeslagen kan stelen. Via de Keychain kunnen Mac-gebruikers hun inloggegevens, maar ook creditcardgegevens en andere gevoelige data, voor onder andere programma's en websites in een versleutelde container opslaan.
Om de opgeslagen wachtwoorden te kunnen benaderen moet er een 'master password' worden ingevoerd. Via de kwetsbaarheid die Wardle ontdekte is het mogelijk om de opgeslagen wachtwoorden zonder master password te benaderen. Een app kan de inhoud van de Keychain 'dumpen', waaronder onversleutelde wachtwoorden. Applicaties kunnen de Keychain wel benaderen, maar alleen om hun eigen data te benaderen. Het is niet de bedoeling dat applicaties toegang tot de gehele Keychain hebben of wachtwoorden kunnen dumpen.
De kwetsbaarheid is aanwezig in El Capitan, Sierra en High Sierra. Het is geen specifiek probleem voor High Sierra. Aangezien het om een beveiligingslek gaat dat alleen lokaal kan worden aangevallen moet een aanvaller eerst de Mac met malware zien te besmetten. Wardle waarschuwde Apple begin september, maar het bedrijf had geen voldoende tijd om het probleem voor de release van High Sierra gisteren te verhelpen. In een uitleg van de aanval op Patreon stelt Wardle dat er wel een patch in ontwikkeling is. In onderstaande video wordt de aanval gedemonstreerd.
Video - Steal y0 (macOS) Keychain. Bron: Vimeo
https://medium.com/@brentonhenry/security-flaw-in-os-x-displays-all-keychain-passwords-in-plain-text-a530b246e960
Dat is normaal gezien new release. Als het enkel in bestaand OS zat had ie 6 weken gegeven...
Overigens, heeft het appeltje zich zelf ook niet altijd aan "gentelman agreements" gehouden, dus ja, waarom zou een onderzoeker dat richting hun dan wel doen.
Ja, dat klopt, maar in het veld "Data" zie ik mijn eigen wachtwoorden in leesbare vorm terug. Beangstigend omdat ik dit vanuit een user account doe.
Het werkt niet bij Keychains die nog met het master pasword op slot zitten. Dan moet je nog steeds dat master password ingeven. Mijn belangrijkste wachtwoorden sla ik niet op in de default sleutelhanger. Sinds MacOS Sierra kun je de standaard sleutelhangers ook geen wachtwoord meer geven die afwijkt van het inlog wachtwoord van je Mac.
Een aantal sleutelhangers bewaar ik niet in de library, maar op een andere locatie vanwaar ik ze tussen mijn macs synchroniseer. Ik merk nu dat "security dump-keychain" niet in staat is om een dump van deze sleutelhangers te maken. Dat lijkt me een bug in deze functie dat hij alleen in de default locatie kijkt en niet via de keychain voorkeuren kijkt waar deze wel staat. Dat maakt de sleutelhanger wel bestendig tegen deze bug.
Dat is niet tegen Apple, maar tegen alle gewone gebruikers zoals jij en ik.
"MacOS is designed to be secure by default, and Gatekeeper warns users against installing unsigned apps, like the one shown in this proof of concept, and prevents them from launching the app without explicit approval. We encourage users to download software only from trusted sources like the Mac App Store, and to pay careful attention to security dialogs that macOS presents."
http://www.zdnet.com/article/apple-macos-high-sierra-password-vulnerable-to-password-stealing-hack/
Securitynews + wardle = Selfpublicity first, nieuws dat vooral ten doel heeft monsieur waddle in het zonnetje te zetten.
Indien "locked" zijn de gegevens in een keychain versleuteld en voor niemand leesbaar, ook niet door enig systeemprogramma.
Indien "locked" zijn de gegevens in een keychain versleuteld en voor niemand leesbaar, ook niet door enig systeemprogramma.
Locken van je keychain is niet handig.
Dan beginnen direct andere (Mac) programmas te bliepen dat ze toegang willen hebben tot de keychain.
Waarom bijvoorbeeld voorvertoning toegang wil tot de keychain (sinds Mavericks 10.9?) als je een plaatje wil openen is me een volkomen raadsel.
Maar als je de boel op slot wil hebben kan je er ook voor kiezen dat de keychain zichzelf automatisch lockt binnen bijvoorbeeld 1 a 5 minuut of bij de slaapstand danwel screensaver stand.
Verder is het een mooie oplossing van Apple om die EFI te controleren en is ook al die semi kritiek erop me een raadsel.
Want als je Apple uiteindelijk niet vertrouwt kan je uberhaubt het oOS niet vertrouwen, dan moet je overstappen naar iets anders, Linux of zo.
Dan beginnen direct andere (Mac) programmas te bliepen dat ze toegang willen hebben tot de keychain.
Dat is een kwestie van niet alles in één keychain te stoppen, maar per soort wachtwoorden te verdelen over verschillende keychains. Dan hoef je maar een paar permanent unlocked te houden. b.v. de chain die het Wifi WW opslaat is wel handig om open te houden.
Een keychain met internet wachtwoorden laat je liever dicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
