Amaya Toman Linuz Henze, een veiligheidsonderzoeker, deelde de zijne Twitter video waarin een beveiligingsfout in het macOS-besturingssysteem wordt gedemonstreerd. De genoemde bug maakt het mogelijk om toegang te krijgen tot wachtwoorden die zijn opgeslagen in de sleutelhanger, met name tot items in categorieën Inloggen en systeem.
Henze gaf ook commentaar op het bugbountyprogramma dat Apple uitvoert. Naar eigen zeggen is hij gefrustreerd dat het programma zich uitsluitend specialiseert in het iOS-besturingssysteem en zich niet richt op macOS. Uit protest tegen de manier waarop Apple omging met bugs in zijn systemen en de rapportage daarvan, besloot Henze het bedrijf niet officieel op de hoogte te stellen van zijn bevindingen.
Henze is er in het verleden al in geslaagd meer dan één bug in het iOS-besturingssysteem te ontdekken, dus zijn woorden kunnen als betrouwbaar en waar worden beschouwd. Het is niet nodig om beheerdersrechten te verkrijgen om de aanval uit te voeren, en toegang tot wachtwoorden in Keychain op Mac kan zelfs worden verkregen op computers met geactiveerde systeemintegriteitsbescherming. De iCloud-sleutelhanger wordt echter niet beïnvloed door de fout, omdat deze wachtwoorden op een andere manier opslaat. Het is theoretisch mogelijk om je tegen de fout te verdedigen door de sleutelhanger zelf te beveiligen met nog een wachtwoord, maar dit is geen optie die standaard beschikbaar zou zijn. Het hele proces is behoorlijk complex en leidt als gevolg daarvan tot talloze verificatiedialogen tijdens het werken aan de Mac.
Bron: 9to5Mac
Apple zit in de kont. Lang leve de nieuwe emoji. Op een dag ontdekt een 14-jarige jongen een brutale fout in FaceTime. Nu meteen naar Sleutelhanger. Het lijkt bijna alsof het wachtwoorden genereert, kijkt hoe het hash-programma het codeert, hasht en het resultaat krijgt.
Hoe zit het met de veiligheid, vooral omdat we op de juiste dag een politiek correcte emoji en een gedrukte regenboogvlag op de Apple-website hebben staan. Dat is nu de prioriteit!