image

Keychain-lek in macOS laat applicaties wachtwoorden stelen

dinsdag 26 september 2017, 10:18 door Redactie, 11 reacties

Beveiligingsonderzoeker Patrick Wardle heeft een beveiligingslek in macOS onthuld waardoor een kwaadaardige applicatie wachtwoorden die in de Keychain zijn opgeslagen kan stelen. Via de Keychain kunnen Mac-gebruikers hun inloggegevens, maar ook creditcardgegevens en andere gevoelige data, voor onder andere programma's en websites in een versleutelde container opslaan.

Om de opgeslagen wachtwoorden te kunnen benaderen moet er een 'master password' worden ingevoerd. Via de kwetsbaarheid die Wardle ontdekte is het mogelijk om de opgeslagen wachtwoorden zonder master password te benaderen. Een app kan de inhoud van de Keychain 'dumpen', waaronder onversleutelde wachtwoorden. Applicaties kunnen de Keychain wel benaderen, maar alleen om hun eigen data te benaderen. Het is niet de bedoeling dat applicaties toegang tot de gehele Keychain hebben of wachtwoorden kunnen dumpen.

De kwetsbaarheid is aanwezig in El Capitan, Sierra en High Sierra. Het is geen specifiek probleem voor High Sierra. Aangezien het om een beveiligingslek gaat dat alleen lokaal kan worden aangevallen moet een aanvaller eerst de Mac met malware zien te besmetten. Wardle waarschuwde Apple begin september, maar het bedrijf had geen voldoende tijd om het probleem voor de release van High Sierra gisteren te verhelpen. In een uitleg van de aanval op Patreon stelt Wardle dat er wel een patch in ontwikkeling is. In onderstaande video wordt de aanval gedemonstreerd.

Image

Video - Steal y0 (macOS) Keychain. Bron: Vimeo

Reacties (11)
26-09-2017, 11:00 door Anoniem
oud nieuws blijkt

https://medium.com/@brentonhenry/security-flaw-in-os-x-displays-all-keychain-passwords-in-plain-text-a530b246e960
26-09-2017, 11:00 door Anoniem
"Alleen lokaal" is ook een probleem. Zeker als je bezoek hebt van de politie of NSA. Toch maar bij open source blijven dan heb je altijd de kans dat iemand anders de patch voor je schrijft of ga je zelf aan de slag.
26-09-2017, 11:10 door Anoniem
Ik zie niets anders dan output van "security security dump-keychain -d [keychainfile]", en het filmpje overtuigt mij er geenszins van dat de authenticatie die daarvoor (in een sidechannel) gedaan moet worden omzeild wordt.
26-09-2017, 11:30 door Whacko
Lekkere responsible disclosure weer. :( Aan het begin van de maand Apple inlichten en nog voor het einde van de maand al openbaar maken. Geef ze ff wat tijd om EERST een fix uit te brengen zeg.
26-09-2017, 13:41 door Anoniem
Door Whacko: Lekkere responsible disclosure weer. :( Aan het begin van de maand Apple inlichten en nog voor het einde van de maand al openbaar maken. Geef ze ff wat tijd om EERST een fix uit te brengen zeg.

Dat is normaal gezien new release. Als het enkel in bestaand OS zat had ie 6 weken gegeven...

Overigens, heeft het appeltje zich zelf ook niet altijd aan "gentelman agreements" gehouden, dus ja, waarom zou een onderzoeker dat richting hun dan wel doen.
26-09-2017, 14:30 door Briolet
Door Anoniem: Ik zie niets anders dan output van "security dump-keychain -d [keychainfile]", …

Ja, dat klopt, maar in het veld "Data" zie ik mijn eigen wachtwoorden in leesbare vorm terug. Beangstigend omdat ik dit vanuit een user account doe.

Het werkt niet bij Keychains die nog met het master pasword op slot zitten. Dan moet je nog steeds dat master password ingeven. Mijn belangrijkste wachtwoorden sla ik niet op in de default sleutelhanger. Sinds MacOS Sierra kun je de standaard sleutelhangers ook geen wachtwoord meer geven die afwijkt van het inlog wachtwoord van je Mac.

Een aantal sleutelhangers bewaar ik niet in de library, maar op een andere locatie vanwaar ik ze tussen mijn macs synchroniseer. Ik merk nu dat "security dump-keychain" niet in staat is om een dump van deze sleutelhangers te maken. Dat lijkt me een bug in deze functie dat hij alleen in de default locatie kijkt en niet via de keychain voorkeuren kijkt waar deze wel staat. Dat maakt de sleutelhanger wel bestendig tegen deze bug.
26-09-2017, 14:31 door Briolet
Door Anoniem: Overigens, heeft het appeltje zich zelf ook niet altijd aan "gentelman agreements" gehouden, dus ja, waarom zou een onderzoeker dat richting hun dan wel doen.

Dat is niet tegen Apple, maar tegen alle gewone gebruikers zoals jij en ik.
26-09-2017, 16:32 door Anoniem
Tja, zullen we de fud factor wat naar bendeden halen?

Apple provided sister-site CNET with a statement, after publication:

"MacOS is designed to be secure by default, and Gatekeeper warns users against installing unsigned apps, like the one shown in this proof of concept, and prevents them from launching the app without explicit approval. We encourage users to download software only from trusted sources like the Mac App Store, and to pay careful attention to security dialogs that macOS presents."

http://www.zdnet.com/article/apple-macos-high-sierra-password-vulnerable-to-password-stealing-hack/

Securitynews + wardle = Selfpublicity first, nieuws dat vooral ten doel heeft monsieur waddle in het zonnetje te zetten.
27-09-2017, 10:16 door Joep Lunaar
Voor de goede orde: een dump levert alleen iets op als de keychain eerst "unlocked" is. Daarvoor moet het wachtwoord van de keychain zijn ingegeven. De login.keychain (sleutelhanger van aangemelde gebruiker) wordt normaliter geopend bij login van de gebruiker; voor andere keychains zal steeds het daarvoor benodigde wachtwoord moeten ingegeven.

Indien "locked" zijn de gegevens in een keychain versleuteld en voor niemand leesbaar, ook niet door enig systeemprogramma.
27-09-2017, 16:28 door Anoniem
Door Joep Lunaar: Voor de goede orde: een dump levert alleen iets op als de keychain eerst "unlocked" is. Daarvoor moet het wachtwoord van de keychain zijn ingegeven. De login.keychain (sleutelhanger van aangemelde gebruiker) wordt normaliter geopend bij login van de gebruiker; voor andere keychains zal steeds het daarvoor benodigde wachtwoord moeten ingegeven.

Indien "locked" zijn de gegevens in een keychain versleuteld en voor niemand leesbaar, ook niet door enig systeemprogramma.

Locken van je keychain is niet handig.
Dan beginnen direct andere (Mac) programmas te bliepen dat ze toegang willen hebben tot de keychain.
Waarom bijvoorbeeld voorvertoning toegang wil tot de keychain (sinds Mavericks 10.9?) als je een plaatje wil openen is me een volkomen raadsel.

Maar als je de boel op slot wil hebben kan je er ook voor kiezen dat de keychain zichzelf automatisch lockt binnen bijvoorbeeld 1 a 5 minuut of bij de slaapstand danwel screensaver stand.

Verder is het een mooie oplossing van Apple om die EFI te controleren en is ook al die semi kritiek erop me een raadsel.
Want als je Apple uiteindelijk niet vertrouwt kan je uberhaubt het oOS niet vertrouwen, dan moet je overstappen naar iets anders, Linux of zo.
27-09-2017, 19:14 door Briolet
Door Anoniem: Locken van je keychain is niet handig.
Dan beginnen direct andere (Mac) programmas te bliepen dat ze toegang willen hebben tot de keychain.

Dat is een kwestie van niet alles in één keychain te stoppen, maar per soort wachtwoorden te verdelen over verschillende keychains. Dan hoef je maar een paar permanent unlocked te houden. b.v. de chain die het Wifi WW opslaat is wel handig om open te houden.
Een keychain met internet wachtwoorden laat je liever dicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.