Kritiek beveiligingslek in Mac-sleutelhanger – zo ben je veilig
Lees verder na de advertentie
De sleutelhanger van macOS – dé plek voor alle opgeslagen wachtwoorden – heeft een kritiek beveiligingslek. Dat laat de Duitse beveiligingsonderzoeker Linus Henze weten. Het lek maakt het mogelijk om in de sleutelhanger opgeslagen toegangsgegevens uit te lezen. Dat werkt in macOS 10.14.3 of eerder, bovendien is het mogelijk om zowel de standaard sleutelhanger ‘Inloggen’, ‘Systeem’ en alle zelf aangemaakte keychains uit te lezen. Dat bevestigde Henze tegen Heise.de.
Zo werkt het
Om de wachtwoorden uit te lezen, is het nodig om een gemanipuleerde Mac-app te starten. Dat voorkomt Gatekeeper over het algemeen, maar het is ook heel gemakkelijk om die beveiliging te omzeilen – zowel voor gebruikers als kwaadwillenden. En het blijft niet bij wachtwoorden, ook beveiligde notities kunnen via de gegevens in Sleutelhangertoegang ontgrendeld worden. Het enige wat volgens Henze wel helemaal veilig blijft zijn de wachtwoorden in iCloud-sleutelhanger. Nadat je deze geactiveerd hebt, verschijnt die ook in Sleutelhangertoegang, maar kan sowieso niet uitgelezen worden. In de video hieronder laat Henze zien hoe hij wachtwoorden uit de sleutelhanger uitleest.
Zo voorkom je het (gedeeltelijk)
Het beveiligingslek vereist dat de sleutelhanger al ontgrendeld is. Bij ‘Inloggen’ is dat het geval zodra je je hebt aangemeld. Een mogelijkheid om een aanval te voorkomen is dus om alle sleutelhangers handmatig te vergrendelen. Je opent hiervoor Sleutelhangertoegang (via Spotlight), Ctrl-klikt links op een sleutelhanger en kiest ‘Vergrendel sleutelhanger’. Nadeel hiervan is wel dat je altijd je wachtwoord moet invoeren zodra apps en systeemdiensten toegangsgegevens willen opvragen. Daarnaast is het mogelijk om een tijd in te stellen waarna een Sleutelhanger automatisch vergrendeld wordt, via ‘Wijzig instellingen voor sleutelhanger’.
Al deze beveiligingsmaatregelen hebben overigens geen effect op de sleutelhanger ‘Systeem’. Deze kan altijd met een gemanipuleerde app uitgelezen worden. Hierin staan bijvoorbeeld de toegangsgegevens voor wifi-netwerken.
Nog niet officieel gemeld
De beveiligingsonderzoeker heeft de bug nog niet aan Apple gemeld, maar ook nog niet uitgelegd hoe het lek precies te gebruiken is. Hij wil het beveiligingslek ook niet aan derde partijen verkopen, om te voorkomen dat deze er misbruik van maken. Op deze manier wil Henze erop wijzen dat Apple nog steeds niet voor gevonden lekken in macOS betaald. Bij iOS worden deze wel betaald, via het zogeheten ‘Bug Bounty’-programma.
Praat mee
0