חולשת אבטחה קריטית ב-macOS

חולשת אבטחה קריטית ב-macOS

נוזקה המותקנת על מערכת Mac יכולה לגנוב שמות משתמש וסיסמאות גלויות של חשבונות מקוונים המאוחסנים ב-Mac Keychain.

ב-26 בספטמבר 2017 הוציאה Apple גרסה חדשה של מערכת ההפעלה למחשבי מקינטוש, שזכתה לשם High Sierra 10.13. שעות ספורות לאחר מכן פרסם פטריק וורדל, בעבר האקר בסוכנות האמריקאית לביטחון לאומי (NSA) וכיום האחראי על המחקר בחברת האבטחה סינאק (Synack), פרטים של חולשת אבטחה קריטית הקיימת ב-High Sierra וכן בכל הגרסאות הקודמות של macOS. חולשה זו מאפשרת לכל נוזקה המותקנת במחשב לגנוב שמות משתמש וחשבונות מקוונים השמורים ב- Mac Keychain- מערכת ניהול סיסמאות מובנית של מקינטוש, המסייעת למשתמשי Apple לאחסן באופן בטוח סיסמאות ליישומים, שרתים ואתרי אינטרנט, מספרי כרטיסי אשראי ומפתחות קריפטוגרפיים. הגישה ל-Keychain מתאפשרת רק באמצעות סיסמת “מאסטר” שמגדיר המשתמש.

Apple: הפרצה מתאפשרת רק ע”י הרצת יישומים ללא חתימה דיגיטלית, שמערכת ההפעלה מזהירה מפני התקנתם מלכתחילה

וורדל הציג קליפ שבו הדגים כיצד נוזקות, בין אם הן מצוידות בחתימה דיגיטלית ובין אם לא, יכולות לגשת ל-Keychain ולשלוף משם את כל המידע, כולל סיסמאות גלויות, מבלי שהמשתמש יצטרך להכניס סיסמת מאסטר.

לדברי וורדל, הוא דיווח ל- Apple על הבעיה באוגוסט 2017, וחשף את חולשת האבטחה כשהבין כי החברה מתכננת לשחרר את גרסת High Sierra מבלי לתקן את החולשה, אשר משפיעה לא רק על הגרסה החדשה של מערכת ההפעלה אלא גם על גרסאות מוקדמות יותר.

בתגובה טענה Apple כי “macOS תוכננה להיות מערכת בטוחה, ו-Gatekeeper ׁׁׁ(מאפיין אבטחה מובנה במערכת) מתריע בפני משתמשים כנגד התקנת יישומים שאינם מצוידים בתעודה דיגיטלית, כמו היישום המודגם בווידאו, ומונע את הרצת היישום ללא אישור מפורש”. אפל הוסיפה כי “אנו מעודדים משתמשים להוריד תכנה רק ממקורות בטוחים כמו App Store, ולבחון בקפידה את התראות האבטחה שמציגה מערכת ההפעלה”.