O MacOS tem uma nova vulnerabilidade séria que essencialmente deixa as senhas do seu computador abertas para serem roubadas por hackers. Seu nome: KeySteal.
Aqui você pode vê-lo em ação:
Relatada pela primeira vez pela publicação de tecnologia Heise Online, a vulnerabilidade abre uma porta para roubar todas as senhas no "login" e nas chaves do "Sistema" do seu Mac, o que o deixa totalmente aberto a ataques, mesmo se você tiver medidas de segurança como listas de controle de acesso e proteção de integridade do sistema usando o mais recente chip de segurança T2 da Apple.
A exploração do KeySteal foi descoberta e anunciada pelo pesquisador de segurança Linus Henze, um autodeclarado fã do macOS e iOS que tem um histórico de descoberta de outras vulnerabilidades no passado. Ele também é membro da Sauercloud, uma equipe alemã de segurança de computadores que participa das competições de hack do Capture The Flag. Em outras palavras: sua façanha provavelmente não foi inventada, mas muito real.
A única maneira de proteger as chaves do seu computador é bloquear as chaves de login com uma senha extra, o que fará com que o macOS peça essa senha toda vez que você tentar fazer quase qualquer coisa com o seu computador.
Felizmente, as chaves do iCloud não são afetadas. Não há notícias sobre a Apple reconhecer esse problema ainda, mas entramos em contato com eles e atualizamos este artigo com tudo o que eles dizem.
Esta é a segunda grande violação na segurança do macOS Keychain, que já sofria outra vulnerabilidade séria em setembro de 2022-2023. Essa abertura foi fechada pela Apple, mas esta ainda não foi - e pode levar um bom tempo para que não haja patch.
O motivo: Henze está protestando contra a falta de recompensas de segurança da Apple para o macOS. Embora a Apple ofereça recompensas para pessoas que encontram vulnerabilidades de hackers no iOS, ela não oferece o mesmo programa para computadores macOS. Henze acha que isso é estúpido e injusto - para não mencionar um indicativo da falta de compromisso sério da Apple com a segurança do sistema operacional de seu computador - e, portanto, decidiu não compartilhar o procedimento de bug, chamando outros para fazerem o mesmo.
O estabelecimento de programas de recompensa de brechas de segurança é uma prática regular na indústria de computadores porque promove o aumento da segurança, dando a muitas pessoas inteligentes uma razão para investir seu tempo na localização de problemas. Até mesmo Tesla de Elon Musk tem esse programa em vigor para aumentar a segurança de seus carros elétricos conectados à Internet.
Esta postagem apareceu originalmente no Tom's Guide.
- Bug de espionagem Apple FaceTime: o que você precisa saber
- Melhor gerenciador de senhas - Lastpass vs. Dashlane vs. 1Password
- Você deve usar um gerenciador de senhas?