Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez
infosec

Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez

Bug στο Instagram κατέστησε τους λογαριασμούς της Kylie Jenner και των τραγουδιστριών Ariana Grande και Selena Gomez κατά 3 εκατομμύρια...
Read More
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Πώς ένα VPN βοηθά στην προστασία της ιδιωτικότητάς σας στο διαδίκτυο

Τον τελευταίο καιρό ακούγεται ότι εκατομμύρια κωδικοί πρόσβασης σε ιστοσελίδες παραβιάζονται ενώ ταυτόχρονα οι πάροχοι υπηρεσιών στο διαδίκτυο έχουν την...
Read More
infosec

Η ενημέρωση του For Honor διορθώνει πολλά σφάλματα του παιχνιδιού

Την Τετάρτη, η Ubisoft κυκλοφόρησε την τελευταία έκδοση του For Honor update - 2.05. Οι πληροφορίες για το patch, αποκαλύπτουν...
Read More
infosec

Microsoft: Το Patch ασφαλείας της Τρίτης, για το Φεβρουάριο του 2019

Η Microsoft εξέδωσε την Τρίτη μια σειρά από ενημερώσεις για τη διόρθωση τουλάχιστον 70 διαφορετικών ευπαθειών ασφαλείας σε Windows και λογισμικό....
Read More
Latest Posts

Το KeySteal exploit κλέβει κωδικούς πρόσβασης από τα keychains των Mac

MacΈνας 18χρονος ερευνητής ασφαλείας από τη Γερμανία, ανακάλυψε μια κακόβουλη εφαρμογή, που εκτελείται σε συσκευές Mac και θα μπορούσε να κλέψει κωδικούς πρόσβασης.

Αποκαλώντας το exploit KeySteal, ο Linus Henze υπέδειξε στο YouTube, πώς λειτουργεί αυτή η επίθεση. Επωφελείται από ένα ελάττωμα στον κώδικα που εκτελείται στους εσωτερικούς αποθηκευτικούς χώρους των Mac, που ονομάζονται keychains. Καθώς η κακόβουλη εφαρμογή μπαίνει σε λειτουργία, μπορεί να υποκλέψει μια λίστα με κωδικούς πρόσβασης για εφαρμογές που συνήθως αλληλεπιδρούν με υπολογιστές, όπως το Facebook και το Twitter.

Ο ερευνητής ασφάλειας της Apple Patrick Wardle δήλωσε ότι έχει δει το exploit από κοντά και μπορεί να επιβεβαιώσει ότι λειτουργεί. Αλλά για να στοχεύσουν έναν υπολογιστή, οι χάκερς πρέπει πρώτα να κάνουν τον ιδιοκτήτη του να εκτελέσει το κακόβουλο λογισμικό στο Mac του.

Αν κι αυτό φαίνεται λίγο δύσκολο να γίνει, τα αποτελέσματα θα ήταν πολύ χρήσιμα για όποιον χάκερ κατάφερνε να το πετύχει. Αντί να διατηρεί μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή σας με το κακόβουλο λογισμικό, θα μπορούσε απλά να υποκλέψει όλα τα διαπιστευτήρια σύνδεσής σας και στη συνέχεια να διαγράψει το κακόβουλο πρόγραμμα. Μετά από αυτό, θα μπορούσε να συνδεθεί νόμιμα στους λογαριασμούς σας.

«Το μόνο που χρειάζεται είναι ο κωδικός πρόσβασης», δήλωσε ο Wardle.

Η Apple δεν έχει κάνει κάποιο σχόλιο για αυτήν την ιστορία.

Το exploit μπορεί να αποκτήσει πρόσβαση στους κωδικούς, στα «login» και «System» keychains.

Ο Henze δήλωσε στο Forbes ότι αρνείται να δώσει λεπτομέρειες για τον κακόβουλο κώδικα στην Apple, επειδή η εταιρεία δεν πληρώνει τους ερευνητές όταν εντοπίζουν ατέλειες που μπορούν να εκμεταλλευτούν οι χάκερ. Ο Wardle υποστήριξε αυτή την άποψη, λέγοντας ότι ο καλύτερος τρόπος για την Apple να εξασφαλίσει ότι το εξαιρετικά ευάλωτο keychain είναι ασφαλές, θα ήταν να ενθαρρύνει τους ερευνητές ασφαλείας να βρίσκουν ατέλειες πληρώνοντάς τους.

Ωστόσο δεν είστε εντελώς ευάλωτοι σε αυτό το ελάττωμα. Οι χάκερς θα πρέπει ακόμα να εγκαταστήσουν κακόβουλο λογισμικό στον υπολογιστή σας. Και παρόλο που ο Henze έχει συζητήσει δημόσια το ελάττωμα, δεν έχει δημοσιεύσει όλα τα βήματα της κακόβουλης εφαρμογής του, ώστε να μπορέσουν να τα εκμεταλλευτούν άλλοι χάκερς .

Αν εξακολουθείτε να ανησυχείτε, μπορείτε να κλειδώσετε με μη αυτόματο τρόπο τα keychains των Mac σας. Για να το κάνετε αυτό, πατήστε τα πλήκτρα command + space, για να εμφανιστεί το spotlight search bar. Πληκτρολογήστε «access keychain» και επιλέξτε το πρόγραμμα που εμφανίζεται. Στη συνέχεια, στην πάνω δεξιά οθόνη, κάντε δεξί κλικ στο στοιχείο μενού που γράφει «login». Επιλέξτε «lock keychain login» από το μενού που εμφανίζεται.

Το μόνο πρόβλημα με αυτή την τεχνική είναι ότι θα πρέπει να επιστρέψετε και να ξεκλειδώσετε χειροκίνητα το keychain σας εάν θέλετε να επιτρέψετε σε εφαρμογές να έχουν πρόσβαση σε αυτό. Για το λόγο αυτό, θα πρέπει να το κλειδώσετε μόνο εάν θεωρείτε τον εαυτό σας ως πιθανό στόχο των χάκερς.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Comments

  1. Ο Henze δήλωσε στο Forbes ότι αρνείται να δώσει λεπτομέρειες για τον κακόβουλο κώδικα στην Apple, επειδή η εταιρεία δεν πληρώνει τους ερευνητές όταν εντοπίζουν ατέλειες που μπορούν να εκμεταλλευτούν οι χάκερ. Έχει δίκαιο, καλά κάνει!

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *