Órákkal az Apple asztali operációs rendszere, a macOS High Sierra nevű új verziójának megjelenése előtt komoly biztonsági hibát fedezett fel benne egy biztonsági szakértő – írja a ZDNet.
A nulladik napi (vagyis még nem javított) sebezhetőség a rendszer Keychain nevű jelszókezelőjét érinti. Ez olyan, mint a Lastpass és hasonló szolgáltatások, csak az Apple sajátja, így az operációs rendszerrel előre telepítve érkezik. Arra jó, hogy a felhasználók minden jelszavukat (és más érzékeny adatokat, például bankkártyaszámokat) eltárolhatják benne, hogy ne kelljen megjegyezni és mindenhova beirkálni, ehelyett egyetlen mesterjelszóval elérhető az összes.
Az ilyen megoldásoknak nyilván kulcsfontosságú eleme az erős biztonság, ezért kellemetlen, hogy éppen a Keychainben talált sebezhetőséget Patrick Wardle, aki korábban az NSA amerikai hírszerzőügynökség hekkere volt, most pedig a Synack nevű cég vezető kutatója. A sebezhetőség lényege, hogy
Wardle egy keychainStealer nevű appal tudott könnyedén hozzáférni a Keychainben tárolt adatokhoz. Ez most még csak egy külön alkalmazás, amit direkt nyilván senki nem tölt le, de a dolog azért veszélyes, mert ugyanezt az eszközt egy legitimnek tűnő appba is be lehet építeni, így észrevétlenül is becsempészhető egy gépre, ha valaki óvatlanul letölt a netről egy hasznosnak gondolt programot, vagy kap egy érdekesnek tűnő csatolmányt emailben. (Ezért is fontos, hogy ellenőrizetlen forrásból ne nagyon töltsenek le semmilyen programot, és ne nyissanak meg olyan emailcsatolmányokat, amelyeket ismeretlenektől kapnak.)
Mindezt egy rövid videóban is demonstrálta Wardle:
Jó etikus hekkerhez méltóan Wardle már korábban jelentette is a hibát az Apple-nek, de mint mondta, sajnos mégse került be a javítás az új rendszerbe. Azért is hozta most nyilvánosságra, hogy figyelmeztesse a felhasználókat a szerinte veszélyes sebezhetőségre.
Az Apple marketingesei jó munkát végeztek abban, hogy meggyőzzék az embereket a macOS biztonságosságáról. Azt gondolom, ez meglehetősen felelőtlen a Mac-felhasználók túlzott magabiztosságához és így nagyobb sebezhetőségéhez vezet
– mondta Wardle.
A kutató szerint az Apple-nek kéne indítania egy hibavadász programot a macOS-re is, akár jótékonysági alapon. A cégnek jelenleg csak iOS-re van ilyenje, amelyen keresztül a hibák bejelenthetők nekik, ezekért viszont a jelentett hibák súlyosságától függően akár 200 ezer dollárt is fizetnek az etikus hekkereknek.
Ez egyébként ebben a hónapban már a második sebezhetőség, amelyet Wardle az operációs rendszerben talált.
Az Apple reagált a hiba nyilvánosságra hozására, szerintük a rendszer biztonságos, mert figyelmezteti a felhasználókat, hogy ne telepítsenek ellenőrizetlen programokat, és ha ezt mégis megteszik, ezek csak a kifejezett jóváhagyásuk után futtathatók. Azt tanácsolják, hogy mindenki csak megbízható szoftvereket töltsön le, és figyeljen oda a rendszer által kiírt figyelmeztetésekre.