Een voormalig hacker van Amerikaanse inlichtingendienst NSA heeft een lek in de nieuwste versie van Apple-besturingssysteem macOS gevonden. 

Voormalig NSA-medewerker Patrick Wardle ontdekte een kwetsbaarheid waardoor hij zonder wachtwoord toegang kan krijgen tot Sleutelhanger, meldt ZDnet.

Sleutelhanger of Keychain is de software waarin macOS de wachtwoorden van de gebruiker versleuteld opslaat. De hack van Wardle biedt echter toegang tot de wachtwoorden zonder dat het hoofdwachtwoord nodig is.

 

 

Ongetekende app

Om het lek te misbruiken is wel een ongetekende app nodig die buiten Apple's App Store om wordt gedownload. Die app zou er verder wel legitiem uit kunnen zien, ook zou de code in bijvoorbeeld een e-mail verstopt kunnen worden.

Wardle heeft het lek eerder deze maand bij Apple gemeld. In de maandag verschenen nieuwe versie van macOS, High Sierra, is het lek echter nog steeds aanwezig. De kwetsbaarheid zit ook in oudere versies van macOS.

Beveiliging

Tegenover CNET wijst Apple op zijn beveiligingsfunctie Gatekeeper. Die waarschuwt gebruikers om ongetekende apps die buiten de App Store om worden gedownload niet te openen. Recente versies van macOS vragen zelfs om een extra handeling om apps van onbekende ontwikkelaars te openen.

Wardle zegt ondertussen teleurgesteld te zijn in de beveiliging van macOS. Hij wijst op het ontbreken van een beloningsprogramma voor het ontdekken van bugs in macOS. Voor iOS-bugs heeft Apple wel zo'n programma.

Het is niet duidelijk of en wanneer Apple de kwetsbaarheid in macOS dicht.

 

Reacties mogelijk gemaakt door CComment