macOS Mojave: una falla del Portachiavi mette a rischio le password
Una nuova falla scoperta in MacOS Mojave mette a rischio i dati inclusi nell’applicazione Portachiavi, ma non quelli del Portachiavi iCloud che utilizza un sistema differente.
Il ricercatore di sicurezza Linuz Henze ha dimostrato un exploit che potrebbe consentire a chiunque di accedere ai nomi utente e alle password salvate, senza effettuare l’accesso con l’account amministratore. Tuttavia, con una mossa eticamente discutibile, Henze ha deciso di non condividere i dettagli con Apple perché chiede in cambio una ricompensa.
Infatti, il programma bug bounty di Apple prevede ricompense in denaro solo per le gravi vulnerabilità scoperta di iOS, ma non per quelle di macOS.
In un video dimostrativo pubblicato da Henze, viene mostrato che attraverso una applicazione appositamente modificata chiamata KeySteal, il ricercatore è stato in grado di accedere ai nomi utente e le password salvate nel Portachiavi di macOS, ma come anticipato non a quelle archiviate nel Portachiavi iCloud.
Henze non solo eviterà di divulgare le sue scoperte a Apple ma sta incoraggiando altri ricercatori a rilasciare pubblicamente i problemi di sicurezza in modo da costringere Apple a creare un programma bug bounty anche per macOS.
Non è chiaro se Apple è a conoscenza di questo particolare problema di Mojave, tuttavia dal momento che per poter accedere ai dati del Portachiavi è necessario che sia sbloccato, è possibile bloccarlo manualmente (click con il tasto destro su nome del portachiavi, e dal menu contestuale che appare selezionare “Blocca portachiavi”). Tuttavia, questa soluzione non è molto pratica, perché significa infinite richieste di inserire la password quando si usa macOS.
7 Commento
Da esperto di sicurezza dico che è decisamente eticamente molto discutibile….
Poi non credo che Apple non ricompensi tali informazioni.
Perchè Apple regala i suoi prodotti che eticamente è scorretto? E’ un ricercatore di sicurezza è questo il suo lavoro. Fossi in lui farei la stessa cosa non ci vedo sto scandalo
Sul Portachiavi ho parecchio da imparare, che differenza c’è tra il portachiavi Login e quello iCloud?
Io ho praticamente tutte le password utilizzate con Safari su Portachiavi iCloud, se ho ben capito sono tutelato,
esiste un tutorial su come utilizzare Portachiavi? ho guardato un po’ sul supporto, ma non ho trovato nulla di esaustivo
Grazie e scusate
Il Portachiavi login memorizza username e password sul Mac, mentre quello iCloud sui server cloud di Apple e li sincronizza con gli altri dispositivi che utilizzano lo stesso ID Apple.
Non c’è molto da sapere sul Portachiavi, serve solo per memorizzare username e password, e con le Note protette anche altri dati.
Ma per rubare le password il malintenzionato deve essere fisicamente in possesso del computer, giusto? Non si può fare da remoto, credo…
Esatto.
con portachiavi a mè è capitato di avere problemi con le autorizzazioni e i certificati, c’è stato un periodo in cui addirittura non potevo collegarmi all’apple store..ho chiamato anche il servizio clienti e non sono riusciti a risolvere il problema..poi ho cercato un po’ online e alla fine sono riuscito a sbloccare tutto dando le autorizzazioni dal portachiavi..quello che ora non capisco è se devo sempre autorizzare tutti i certificati (quelli scaduti) oppure se questo sia un rischio, Stefano sai dirmi qualcosa in merito? grazie mille!