Op 25 september werd de nieuwste Mac OS versie, High Sierra, gelanceerd. Helaas verliep dat niet zonder slag of stoot. Ex-NSA analist Patrick Wardle ontdekte namelijk een kwetsbaarheid die het mogelijk maakt om de wachtwoorden uit de sleutelhanger te ontvreemden.

De sleutelhanger maakt het mogelijk om wachtwoorden te bewaren, zodat je niet alle wachtwoorden zelf hoeft te onthouden. Deze wachtwoorden kunnen door de kwetsbaarheid bemachtigd worden door gebruik te maken van frauduleuze software.

Hoe werkt het?

Met behulp van een keychainstealer app is het mogelijk om, zoals het woord zelf al zegt, wachtwoorden uit de sleutelhanger te stelen. Deze app kan op Mac OS High Sierra geïnstalleerd worden, zonder dat daar administratierechten voor nodig zijn. 

Vervolgens kan vanop afstand een rechtstreekse connectie gemaakt worden, waardoor de volledige inhoud van de sleutelhanger zichtbaar wordt. Dit allemaal zonder medeweten van de gebruiker.

Risico

Door deze malware via e-mail te versturen of door deze aan een bestaand pakket te koppelen, is het mogelijk dat de gebruiker deze installeert zonder te beseffen dat het om malware gaat. Op deze manier zet de gebruiker de deur open voor de hacker.

Nochtans maakt Mac OS High Sierra gebruik van Secure Kernel Extension Loading, kortweg SKEL. Hierdoor is het noodzakelijk dat een gebruiker eerst toestemming geeft, alvorens software van buitenaf gestart kan worden. 

Wardle vond echter een zero day exploit, waardoor het mogelijk is om SKEL te omzeilen. Op deze manier hoeft de gebruiker geen toestemming meer te geven om software van buitenaf te starten.

Oplossing

Momenteel heeft Apple nog geen update uitgebracht om het veiligheidslek te dichten. De code om misbruik te maken van het lek is tot nu toe -gelukkig- ook nog niet beschikbaar gemaakt.

Daar er nog geen update is om het veiligheidslek te dichten, zit er niets anders op dan wachten op de update die Apple hoogstwaarschijnlijk snel ter beschikking zal stellen.

Uiteraard is het veiliger om wachtwoorden niet in de sleutelhanger te bewaren. 

Contacteer ons gerust bij vragen of lees onze blogpost omtrent wachtwoordbeleid.