ל- MacOS יש פגיעות רציניות חדשות שבעצם משאירות את הסיסמאות של המחשב פתוחות לרווחה לגניבה על ידי האקרים. שמו: KeySteal.
כאן אתה יכול לראות את זה בפעולה:
הפגיעות פותחת דלת לגניבת כל הסיסמאות במחברת המפתחות של "Mac" ו- "System" של ה- Mac שלך, מה שמשאיר אותך פתוח לתקיפה גם אם יש לך אמצעי אבטחה כמו רשימות בקרת גישה והגנה על תקינות המערכת. באמצעות שבב האבטחה T2 האחרון של אפל.
הניצול של KeySteal התגלה והוכרז על ידי חוקר האבטחה לינוס הנזה, מעריץ macOS ו- iOS המוצהר על עצמו, בעל תיעוד של גילוי נקודות תורפה אחרות בעבר. הוא גם חבר ב- Sauercloud, צוות אבטחת מחשבים גרמני שמשתתף בפריצות לתחרויות Capture The Flag. במילים אחרות: הניצול שלו כנראה לא מורכב, אבל אמיתי מאוד.
הדרך היחידה להגן על מחזיק המפתחות של המחשב שלך היא לנעול את מחזיק מפתחות הכניסה באמצעות סיסמה נוספת, מה שיגרום ל- macOS לבקש ממך את הסיסמה הזו בכל פעם שאתה מנסה לעשות כמעט כל דבר עם המחשב שלך.
למרבה המזל, מחזיק המפתחות של iCloud אינו מושפע. עדיין אין חדשות על כך שאפל מכירה בבעיה זו, אך יצרנו איתם קשר ואנו מעדכנים מאמר זה בכל מה שהם אומרים.
זוהי הפרה הגדולה השנייה באבטחת macOS Keychain, שכבר ספגה פגיעות חמורות נוספות בספטמבר 2022-2023-2022. הפתח הזה נסגר על ידי אפל, אבל זה עדיין לא - ואולי הוא לא יתוקן לא מעט זמן.
הסיבה: הנזה מוחה על היעדר שפע האבטחה של אפל עבור macOS. למרות שאפל מציעה פרסים לאנשים שמוצאים פגיעויות פריצה ב- iOS, היא לא מציעה את אותה תוכנית למחשבי macOS. Henze חושב שזה מטומטם ולא הוגן - שלא לדבר על כך שמעידים על חוסר מחויבות רצינית של אפל לאבטחת מערכת ההפעלה של המחשב שלהם - ולכן החליט לא לשתף את הליך הבאגים, וקורא לאחרים לעשות את אותו הדבר.
הקמת תוכניות שפע של אבטחת חורים היא מנהג קבוע בתעשיית המחשבים מכיוון שהיא מקדמת אבטחה מוגברת, ונותנת להרבה אנשים חכמים סיבה להשקיע את זמנם במציאת בעיות. אפילו לטסלה של אילון מאסק יש תוכנית כזו להגברת האבטחה של המכוניות החשמליות המחוברות לאינטרנט שלו.
פוסט זה הופיע במקור במדריך של טום.
- באג ריגול של FaceTime של Apple: מה שאתה צריך לדעת
- מנהל הסיסמאות הטוב ביותר - Lastpass לעומת Dashlane לעומת 1Password
- האם עליך להשתמש במנהל סיסמאות?
