macos
15

Znalazł lukę pozwalającą na dostęp do wszystkich haseł z pęku kluczy w najnowszym macOS, ale nie pomoże jej Apple załatać

Specjalista od spraw bezpieczeństwa, Linus Henze, znalazł lukę w najnowszej wersji macOS, pozwalający na dostęp do pęku kluczy zalogowanego użytkownika. Postanowił jednak nie podpowiadać Apple z jakiej luki skorzystał — bo ci... wynagradzają wyłącznie analogiczną pomoc w przypadku iOS.

Ostatnie tygodnie to jakaś szalenie zła passa dla Apple — i wpadek w zakresie bezpieczeństwa. Raptem w zeszłym tygodniu świat obiegły wieści o bugu, przez który użytkownicy FaceTime mogli „podsłuchiwać” użytkowników do których telefonowali. Wszystko przez to, że mikrofon był aktywowany zanim druga strona jeszcze przyjęła połączenie (zobacz: Apple zalicza ogromną wtopę. Błąd w FaceTime pozwalał na podsłuch użytkowników). Teraz natomiast robi się coraz głośniej o luce w macOS Mojave, czyli najświeższej odsłonie systemu giganta z Cupertino na ich komputery. Linus Henze, doskonale znany w społeczności specjalista od spraw bezpieczeństwa, na opublikowanym materiale zaprezentował jak — z jego wiedzą i narzędziami — dziecinnie prosto jest dobrać się do pęku kluczu w Mojave. Zobaczcie sami:

Zobacz też: Takie hasła w 2018 roku to wstyd. Dalej z nich korzystamy

Oczywiście to nie jest tak, że wszystko co widać na powyższym materiale to dziecinna igraszka, jednak Linus Henze udowadnia nim, że problem istnieje i… postanawia nie dzielić się z Apple żadnymi szczegółami na ten temat, wszystko to w ramach osobistego protestu. Powód jest prosty — firma dość po macoszemu traktuje pomoc przy wyszukiwaniu takich błędów w przypadku macOS. Prowadzony przez nich program przewiduje wyłącznie nagrody dla tych, którzy pomagają uczynić iOS bezpieczniejszym miejscem. Jakby tego było mało: Henze namawia innych hakerów do upubliczniania znalezionych przez siebie luk, co miałoby pchnąć firmę do potraktowania kwestii nagradzania specjalistów od bezpieczeństwa także w przypadku pomocy przy łataniu ich stacjonarnego systemu, a nie tylko tego mobilnego.

Na tę chwilę nie wiemy nic na temat tego, jak na sprawę zapatruje się na ten temat Apple — i czy w ogóle są świadomi problemu. To może być ciekawa historia, tym bardziej, że — nawet jako użytkownik potencjalnie narażony na tę lukę — trudno mi mieć pretensję do Henzego. To jego długie godziny pracy i chęć pomocy w naprawieniu rzeczy, o pomoc przy których gigant z Cupertino sam powinien zabiegać, a Linus — i jemu podobni — wcale nie powinni się prosić o odpowiednie wynagrodzenie za udzielenie przy tym pomocy.

Sprawa z dostępem do pęku kluczy wraca jak bumerang przy okazji różnych platform do przechowywania wszystkich haseł. I ponownie skłania do refleksji, czy warto z nich korzystać. Z jednej strony tworzymy konta w kolejnych miejscach sieci, a chcąc zadbać o ich bezpieczeństwo — wszędzie korzystamy z haseł, na które składają się losowe ciągi znaków. Nie sposób ich spamiętać, więc idealną pomocą wydają się rozmaite menadżery, ale kiedy już tam pójdzie coś nie tak — to wszystkie nasze hasła wyciekają hurtowo. Jak żyć?