macOS High Sierra: łatka na podatność pęku kluczy w drodze

Narzędzie zapamiętywania haseł w macOS High Sierra okazuje się podatne na atak z zewnątrz. Do takich wniosków doszedł Patrick Wardle, przedstawiając prosty sposób na wydobycie z programu wybranych haseł, co udowodnił zamieszczając w Sieci film. Celem nie jest zaatakowanie użytkowników, ale zwrócenie uwagi, jak niedoskonałe jest to narzędzie. Informacja o odkryciu została już wysłana do Apple – wszyscy liczą na możliwie szybką łatkę.

W całej sprawie niepokojące jest, iż podatność można wykorzystać do odczytania haseł zapisanych w programie, w którym są one teoretycznie bardzo bezpieczne dzięki wykorzystaniu AES-256. Na filmie widać działanie niepodpisanej aplikacji, która w systemie zostałaby tak czy inaczej zablokowana, ale zdaniem autora nie ma problemu z przeniesieniem funkcjonalności na aplikację cyfrowo podpisaną. Hasła udaje się poznać bez konieczności wpisywania głównego hasła użytkownika.

Jak poinformował w wywiadzie serwis Gizmodo sam Wardle, kod programu nie zostanie upubliczniony, dopóki Apple nie wyda odpowiedniej łatki. Na to powinniśmy natomiast liczyć wkrótce – Apple zostało poinformowane o problemie jeszcze 7. września i z uwagi na skalę zagrożenia, wydanie łatki jest teraz z pewnością wysoko na liście priorytetów.

Jak nietrudno się domyślić, w związku z odkrytą podatnością na atak, w Sieci pojawiają się propozycje, by wstrzymać się z aktualizacją systemu do High Sierra. Patrick Wardle nie widzi takiej konieczności: Myślę, że wszyscy powinni skorzystać z aktualizacji. Jest w niej wiele dobrych, wbudowanych funkcji związanych z bezpieczeństwem. Co jednak najważniejsze, unikanie najnowszego macOS-a nie uchroni przed ewentualnym zagrożeniem: Ten atak zadziała także na starszych wersjach systemu macOS. Nie ma żadnego powodu, aby nie skorzystać z aktualizacji.