×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker waarschuwt voor toegang tot macOS-keychain door bepaalde apps

Door , 40 reacties, submitter: Scotix

Beveiligingsonderzoeker Patrick Wardle, die zich voornamelijk bezighoudt met de beveiliging van macOS, heeft een kwetsbaarheid ontdekt waarmee een unsigned app toegang kan krijgen tot de inhoud van de keychain. Er zit geen patch in de recente High Sierra-release.

In een e-mail aan Tweakers legt Wardle desgevraagd uit dat het lek een aanvaller toegang kan verschaffen tot onder meer plaintext wachtwoorden en privésleutels, bijvoorbeeld via malware. Het lek zou makkelijk te gebruiken zijn doordat er een redelijk stabiele exploit voor te maken is, voegt hij daaraan toe. Apple reageerde tegenover ZDNet op de ontdekking en zegt dat de macOS-beveiliging Gatekeeper in dit geval zou waarschuwen dat de app niet ondertekend is en dat er daarom eerst toestemming moet worden gegeven om deze uit te voeren.

Volgens Wardle zijn ook andere macOS-versies dan High Sierra getroffen, maar meldt hij niet precies welke. Apple zei in zijn reactie niets over het tijdstip voor een patch. In de e-mail schrijft Wardle verder: "Als een gepassioneerd mac-gebruiker word ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Dat bedoel ik niet als aanval op iemand bij Apple, maar elke keer dat ik het OS onderzoek komt er wel iets aan het licht."

De onderzoeker publiceerde een korte video, waarin hij een exploit voor de kwetsbaarheid demonstreert. In het verleden vond beveiligingsbedrijf ESET al eens malware die zich op de keychain richtte, destijds nog voor OS X. De malware draagt de naam Keydnap en fungeert bovendien als backdoor.

Door Sander van Voorst

Nieuwsredacteur

26-09-2017 • 07:25

40 Linkedin Google+

Submitter: Scotix

Reacties (40)

Wijzig sortering
De vraag die je jezelf kan stellen is: "Heb ik key chain echt nodig?".
Natuurlijk is het handig als je, bijvoorbeeld, een wifi password op het ene apparaat intypt dat deze ook gelijk op het andere apparaat werkt, maar als je passwords centraal worden opgeslagen, dan loop je ook extra risico.
Ik twijfel nog.
Natuurlijk is het handig als je, bijvoorbeeld, een wifi password op het ene apparaat intypt dat deze ook gelijk op het andere apparaat werkt
Dat gaat over iCloud keychain specifiek, dat is niet het ding. Dit is de lokale keychain, waar alles in komt te staan. Dus de centrale kluis.
Ja, Keychain (of een alternatief zoals LastPass, Keepass of een van de vele anderen) is nodig. Het gebruik ervan maakt het in de praktijk mogelijk om voor elke site en service een apart wachtwoord te gebruiken. En het risico dat daar iets mis gaat is groter dan dat je password store gehackt wordt. Dan wil je dat een gehackte login op die ene site geen gevolgen heeft voor de rest van je logins.
Tja, maar je creŽert wel een single point of failure, dat ook nog eens extreem interessant is voor aanvallers.

Je kunt je ook afvragen of 100 compleet verschillende en extreem veilige passwords voor 100 sites ook echt nodig is. Ik geloof het niet; niet elke site beschikt over even gevoelige informatie en je kunt sites groeperen per risico-categorie:
  • Geen NAW gegevens
  • NAW, geen betalingsgegevens
  • NAW + betalingsgegevens
  • NAW + 'identiteitsgegevens' (BSN)
  • Geautoriseerd voor financiŽle transacties
Per categorie een password, per site aangevuld met een site-afhankelijk deel. Met 4-6 passwords ben je dan rond, dat kun je makkelijk onthouden. Het risico is ook beperkt; bij een lek op een site in een bepaalde categorie lekt er bepaalde informatie...als vervolgens alle sites in die categorie ook getroffen worden, lekt er geen extra informatie. Voor de categorieŽn met informatie die gebruikt kan worden voor identiteitsfraude of het doen van financiŽle transacties is een uniek password per site te overwegen...zoveel sites zullen dat niet zijn (DigiD, de bank, paypal, ...) zodat je alsnog onder de 10 passwords blijft.

Wat met password managers ook nog wel eens vergeten wordt, is dat het zwakste punt niet de bewaarder van die passwords is (die zijn echt wel goed beveiligd) maar het minst veilige device waar je de manager op gebruikt. Een password manager op een Android 4.x device is net zo veilig als Android 4.x is.
Mja, dit doen veel mensen al, heb ik de indruk, maar wat als je bijvoorbeeld ook nog sites, email accounts etc. beheert voor je werk? Wachtwoorden van familie en anderen zoals kinderen of juist ouderen, die jou in vertrouwen nemen omdat ze iemand nodig hebben om op terug te kunnen vallen?

Die wachtwoorden wil je niet hetzelfde hebben, want – bij bedrijven bijvoorbeeld – kan de schade qua PR zowel als qua praktische problemen, soms zelfs direct financiŽle risico's, aanzienlijk zijn.

Dan is een wachtwoord-manager wel zo praktisch en veilig. Aangezien ze meestal alleen bij websites werken, is system-wide wachtwoordbeheer een uitkomst. Typisch iets wat je van Apple verwacht, want een speerpuntje qua gebruiksvriendelijkheid.
Het voordeel is dan ook (als je Safari gebruikt) dat je direct bij wachtwoord velden een erg sterke suggestie krijgt, indien je die accepteert, komt dit direct in je keychain, en is dit (indien je iCloud keychain gebruikt) ook direct beschikbaar in Safari op je andere apparaten.
Je kunt met Chrome en Firefox overigens ook gebruik maken van ingebouwde password manager en deze synced met al je devices.
Net wat je wilt.

Geen idee hoe veilig die zijn, maar van Apple Keychain weten we nu iig dat die wss niet echt veilig is.

[Reactie gewijzigd door xs4me op 26 september 2017 10:07]

Ik gebruik de chrome versie gekoppeld aan m’n gmail adres en werkt idd prima op al m’n apparaten.
Dit gaat ook over het wachtwoord voor het account op je mac. Daarmee geef je toegang tot het gehele systeem, kun je een keylogger installeren, en dan wordt het ook met Keepass en Lastpass een stuk lastiger. Je hebt dan eigenlijk 2FA nodig. Bij Lastpass is dat goed geregeld, en hoef je die alleen te gebruiken bij nieuwe apparaten en vervolgens eens in de maand. Bij Keepass kun je een lokale key gebruiken, maar die is ook niet meer veilig bij deze hack.
Dat is niet de vraag die je je moet stellen (of toch niet op die manier). Je moet je de vraag stellen maken we een patch of niet. En indien niet slopen we het er gewoon niet uit. Ook bij het antwoord van Apple daar durf ik mijn bedenkingen bij stellen, hoewel ik mij anderzijds moeilijk kan voorstellen dat ze niet aan een patch bezig zijn. Maar het lijkt me een antwoord dat ik bij andere softwaregiganten ook al heb gezien. En meestal in tijden dat ze niet zo goed bezig zijn op het gebied van security.

Verder vind ik ook
"Apple marketing has done a great job convincing people that macOS is secure, and I think that this is rather irresponsible and leads to issues where Mac users are overconfident and thus more vulnerable," he added.

In his tweet, Wardle suggested that Apple should launch a macOS bug bounty program "for charity." Right now, Apple only has
Nuja, ik ga er wel vanuit dat de meeste tweakers wel weten dat niet elk os 100 procent veilig is.
and to pay careful attention to security dialogs that macOS presents."
Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.

*edit:foutjes
**edit:toevoeging quotes

[Reactie gewijzigd door white modder op 26 september 2017 07:43]

Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.
Precies. We weten al jaren en jaren dat "security warnings" niet werken. Dan kun je twee dingen doen:
- Proberen de manier waarop mensen in de basis in elkaar steken veranderen en blijven zeggen "Dan moet je maar opletten". Interessante uitdaging maar Microsoft heeft dat ondertussen opgegeven omdat het simpelweg niet werkt.
- Je spullen daadwerkelijk veilig maken. ZEKER als het gaat over iets waarvan je iedere keer blijft roepen dat het zo enorm veilig is.
- Je spullen daadwerkelijk veilig maken. ZEKER als het gaat over iets waarvan je iedere keer blijft roepen dat het zo enorm veilig is.
Dus gewoon niet toestaan dat unsigned apps gestart kunnen worden? Dan krijg je vast weer een hoop gezeur dat je dan weer van Apple afhankelijk wordt gemaakt, etc etc. Welke oplossing je ook verzint er zit altijd wel een flinke "maar" aan waarvan anderen weer vinden dat dat niet de manier is.
Daarbij is de Mac App Store relatief onaantrekkelijk omdat macOS altijd meer open was dan iOS. Zaken als trials zijn slecht uitgewerkt bijvoorbeeld. Het Adobe of JetBrains model met licenties zou ook moeilijk te realiseren zijn.
Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.
Je kunt die app niet zomaar openen.

Als je dubbelklikt krijg je een melding dat je hem niet kunt openen (unsigned developer).

Om het toch voor elkaar te krijgen moet je rechtermuis > open klikken en dan forceren of via preferences "open anyway" of heel de gatekeeper via de terminal uitzetten.
Ja dat klopt, maar dit komt ook wel eens voor bij applicaties die gewoon goed zijn. Zodra een persoon maar vaak genoeg een melding krijgt en weet hoe hij er omheen moet werken, kijken ze helemaal nergens meer naar.

Je ziet het ook met UAC. Gewoon op ja drukken, of zoals in Mac OS: gewoon je password invullen. Het zal wel goed zijn, de vorige 8483943 keer was het ook goed.

Wat je dan wel moet doen? Geen flauw idee...
De gebruiker opvoeden?
Uiteindelijk helpt niets tegen een achteloze gebruiker. Niet voor niets is al 20 jaar het gros van de succesvolle hacks (in het algemeen, niet specifiek bij MacOS) te danken aan 'social engineering'. Mensen foppen.
Je ziet het ook met UAC. Gewoon op ja drukken, of zoals in Mac OS: gewoon je password invullen. Het zal wel goed zijn, de vorige 8483943 keer was het ook goed.
Het grote verschil tussen UAC en hoe het op macOS werkt is dat je op macOS eigenlijk maar zeer zelden een wachtwoord popup krijgt, omdat de default mode waarop het OS werkt is dat je applicaties installeert via de mac App Store, of van een ontwikkelaar die zijn applicaties ondertekent met een door apple geverifieerde key die kan worden ingetrokken als er malware in de software blijkt te zitten (praktisch elke zichzelf respecterende macOS ontwikkelaar dus). Eigenlijk alleen als je via dubieuze bronnen software installeert, of als je software installeert die systeemonderdelen/settings wijzigt krijg je een wachtwoord prompt. Het aantal prompts is dusdanig laag dat het (in ieder geval mij) altijd opvalt als er ineens eentje opduikt, waardoor je toch wel 2 keer nadenkt voor je op OK drukt. Eigenlijk is alleen de Java plugin die elke twee weken weer een beveilingsupdate wil installeren een regelmatige bron van wachtwoord pop-ups bij mij.

Verder is het inderdaad natuurlijk waar dat 99% van de 'beveilingslekken' gewoon social engineering zijn en weinig met het OS te maken hebben. Tegen stompzinnigheid van de gebruiker is geen enkele technologie opgewassen.

[Reactie gewijzigd door johnbetonschaar op 26 september 2017 11:27]

Als je dubbelklikt krijg je een melding dat je hem niet kunt openen (unsigned developer).
Dat is omdat hij te gierig was om US$ 99,- af te tikken voor een geldige licentie, niet omdat een signed applicatie veilig is.
Dat klopt. Als deze gesigned zou zijn, dan word je ook traceerbaar, wat voor feestje zou het worden bij daadwerkelijke malware denk je?
Je hebt helemaal geen verifieerbare data nodig voor een betaald developer account, tenzij je een zakelijk account wil (D.U.N.S. etcetera), een credit card is voldoende. Iets waar de gemiddelde cracker natuurlijk ook niet zijn eigen voor gebruikt.
En dan zegt Apple: revoke. App doet niets meer.
Volgens mij werkt distributie buiten de App Store dan nog prima. Waarom je ook gewoon altijd als je de keuze hebt via de App Store moet downloaden.
Twijfelen aan Apples antwoord op deze kwestie is altijd goed maar uiteindelijk heeft Apple wel degelijk een goed punt.
Om een app te instaleren heb je gewoonweg een wachtwoord nodig, voor een ongesigneerde app moet je zelfs bij "security" inloggen om ook maar ťťn stapje verder te komen.
Apple heeft zijn zaakje dus meervoudig beveiligd en deze onderzoeker heeft slecht een deurtje op een kiertje gekregen en een hele deur open door zijn eigen hoofdwachtwoord in te vullen.
Ik krijg niet de indruk dat dit probleem gerelateerd is aan iCloud Keychain, maar aan Keychain zelf.
Je hebt het misschien niet nodig, maar kleine kans dat je het niet gebruikt; certificaten, wifi wachtwoorden, imessage signing keys staan er in.

Maar goed dit is een proof of concept, niet veel anders dan een .exe naar iemand sturen, laten klikken en toegang geven, als dan ook nog je poorten op je router open staan, dan zou iemand eventueel je wachtwoorden kunnen zien.

Met een "crafted" app kun je natuurlijk heel veel. Je kunt ook een app maken die om je wachtwoord vraagt en ook dan zijn er mensen die het ingeven, dan kun je nog veel meer. Daar staan nog legio CVE's van open voor elk OS.
In mijn ogen kan je tegenwoordig niet meer zonder een password manager.
Het is sowieso een no-no om op meer dan 1 plek het zelfde paswoord te gebruiken, dat heeft het verleden inmiddels wel uitgewezen. Dus tenzij je 100den wachtwoorden kan onthouden, zelfs voor obscure sites, zul je toch een handje geholpen moeten worden.
Het is niet echt een keuze. Als je in Outlook, Skype voor bedrijven, VPN software, spotify, ect het wachtwoord opslaat voor je account worden deze in KeyChain gezet. Als je deze reset moet je overal het wachtwoord weer opnieuw invoeren. Ook wachtwoorden die gemaakt zijn binnen safari. Allemaal weg.

Wij moeten op het werk na het wijzigen van het wachtwoord van het AD account nog wel eens de Keychain resetten omdat deze moeite heeft met AD accounts op MacOS. Ondanks dat een MacBook een domain join kan maken mag Apple ook eens beter luisteren naar de zakelijke markt. Maar dat is een ander verhaal.
De vraag is of je 3 meldingen hebt omzeilt van apple waardoor dit kan gebeuren?
Onbekende bronnen installatie moet je een handeling voor doen voordat het daadwerkelijk kan.
Apple reageerde tegenover ZDNet op de ontdekking en zegt dat de macOS-beveiliging Gatekeeper in dit geval zou waarschuwen dat de app niet ondertekend is en dat er daarom eerst toestemming moet worden gegeven om deze uit te voeren.
Die reactie van Apple vind ik eerlijk gezegd ook wat makkelijk. We weten dondersgoed dat gebruikers op 'Ja' en 'Ok' klikken om door te gaan.
"Als een gepassioneerd mac-gebruiker word ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Dat bedoel ik niet als aanval op iemand bij Apple, maar elke keer dat ik het OS onderzoek komt er wel iets aan het licht."
Om nog maar eens aan te tonen dat macOS niet per definitie veiliger is dan andere OS-en.

[Reactie gewijzigd door Vexxon op 26 september 2017 09:19]

Die reactie van Apple vind ik eerlijk gezegd ook wat makkelijk. We weten dondersgoed dat gebruikers op 'Ja' en 'Ok' klikken om door te gaan.
Zo simpel is het dus niet. Je moet naar de beveiligingsvoorkeuren toe en daar uiteindelijk de applicatie goedkeuren. Dat zijn wat meer stappen dan simpel een wachtwoord invullen en op OK klikken. Het lastige is gewoon dat als er mensen aan te pas komen er beveiligingsgaten ontstaan. Gewoon omdat men denkt: het zal wel, ik keur het gewoon goed.
Ah bedankt voor de extra info.
Het lastige is gewoon dat als er mensen aan te pas komen er beveiligingsgaten ontstaan
Precies, maar wat men vaak vergeet is dat niet alleen bij het gebruik van software mensen fouten maken, maar ook bij het maken ervan. En zelfs bij Apple blijken mensen te werken, althans daar ga ik vanuit.
Eh… Hoe zie je dit dŗn voor je? Unsigned software komt voorbij, de gebruiker kan het niet openen en dan? Dan heeft Apple het gedaan want dan is macOS 'niet gebruikersvriendelijk'.

Hoe stel je dan voor hoe het moet gaan?
Het vervelende is dat de software om die wachtwoorden op te slaan ook net zo veilig is als de makers kunnen tot er een hack is of software die het gewone gebruik misbruikt.
Volgens mij bedoelt hij een (ongedocumenteerde) API-call met een (mogelijk) kwaadaardig effect, op een manier die niet voorzien was. Kan dus een hack of backdoor ofzo zijn...
Dit geldt alleen voor data is unencrypted is opgeslagen, standaard worden alle wachtwoorden encrypted in de keychain opgeslagen.
Wat is er gebeurd met wachten tot er een patch uit is, en dan je bevindingen openbaar maken?
Dit is erg vervelend. Ik gebruik weliswaar KeePassX voor al mijn passwords maar ik heb vaak voor het gemak website passwords (ook) in KeyChain staan. Zaken als Git passwords zijn ook vaak geÔntegreerd met Keychain. Dus mensen die beweren dat je gewoon een password manager moet gebruiken hebben maar ten dele gelijk.

Ik hoop dat er snel een patch komt en dat er bij Apple even wat meer geld richting macOS gedirigeerd gaat worden want de grote sprongen qua security worden gewoon niet meer gemaakt. Windows wordt steeds beter sinds Vista maar macOS blijft eigenlijk sinds 1999 redelijk gelijk. Het was echt fantŠstisch voor die tijd maar goed we zijn bijna 20 jaar verder.

Waar ik geen goed zicht op heb is welke passwords echt "plain text" zijn. Ik neem aan alle passwords die ik zichtbaar kan maken na het aanvinken van "show password"? Of kunnen die alsnog encrypted zijn icm mijn password?
Blijft de security van macOS sinds 1999 gelijk? Hier een klein lijstje wat we er de afgelopen (recente) jaren in de verschillende releases erbij hebben gekregen:
  • XProtect
  • Gatekeeper
  • FileVault 2
  • Sandboxing
  • ASLR
  • SIP
  • Kext signing
Ik zeg niet dat er helemaal niets gebeurt maar als je kijkt wat voor ontwikkeling Windows in de zelfde tijd doorgemaakt heeft op dat gebied dan is macOS van koploper naar volger gegaan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*