Linus Henze, en anerkjent sikkerhetsforsker, har oppdaget et stygt passord-hull i MacOS, men nekter å dele detaljene med Apple.
– Ikke for pengenes skyld
Årsaken er at selskapet kun lover dusør om man finner feil iOS, og ikke MacOS. Henze mener det er rett og rimelig at sikkerhetsforskere som han selv får betalt for arbeidet, da de gjør Apples produkter bedre.
“Selv om det ser ut som jeg gjør dette kun for pengene, er ikke det tilfellet”, bedyrer han, og mener at det nærmest virker som Apple ikke bryr seg om OS-et til Mac-er lenger.
Uansett, over til selve feilen i Apples MacOS: problemet er at det er mulig å stjele passord, selv uten administrator-rettigheter. Merk at iCloud-passord heldigvis ikke er rammet, men det spiller faktisk ingen rolle om Mac-en har aktivert “System Integrity Protection” eller ei.
En lignende feil ble oppdaget av en annen sikkerhetsforsker i 2017, og senere lappet av Apple.
Annonse
Apple interesserte
KeySteal-demoen, som den er navngitt, gjør det mulig for en hacker å hente alle elementer i “login” og “system”-databasene.
Det anbefales å definere et passord for MacOS Keychain for å få på et ekstra sikkerhetslag – et slikt passord er ikke på som standard da KeyChain åpnes etter at brukeren har logget seg inn i MacOS.
Det er i skrivende stund uklart om Apple selv kjenner til problemet, da Henze nekter å dele det han vet, men de har ifølge ZDNet kontaktet ham, så de kjenner neppe detaljene.
Kilde:
ZDNet
Annonse
