Onderzoeker waarschuwt voor toegang tot macOS-keychain door bepaalde apps

Beveiligingsonderzoeker Patrick Wardle, die zich voornamelijk bezighoudt met de beveiliging van macOS, heeft een kwetsbaarheid ontdekt waarmee een unsigned app toegang kan krijgen tot de inhoud van de keychain. Er zit geen patch in de recente High Sierra-release.

In een e-mail aan Tweakers legt Wardle desgevraagd uit dat het lek een aanvaller toegang kan verschaffen tot onder meer plaintext wachtwoorden en privésleutels, bijvoorbeeld via malware. Het lek zou makkelijk te gebruiken zijn doordat er een redelijk stabiele exploit voor te maken is, voegt hij daaraan toe. Apple reageerde tegenover ZDNet op de ontdekking en zegt dat de macOS-beveiliging Gatekeeper in dit geval zou waarschuwen dat de app niet ondertekend is en dat er daarom eerst toestemming moet worden gegeven om deze uit te voeren.

Volgens Wardle zijn ook andere macOS-versies dan High Sierra getroffen, maar meldt hij niet precies welke. Apple zei in zijn reactie niets over het tijdstip voor een patch. In de e-mail schrijft Wardle verder: "Als een gepassioneerd mac-gebruiker word ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Dat bedoel ik niet als aanval op iemand bij Apple, maar elke keer dat ik het OS onderzoek komt er wel iets aan het licht."

De onderzoeker publiceerde een korte video, waarin hij een exploit voor de kwetsbaarheid demonstreert. In het verleden vond beveiligingsbedrijf ESET al eens malware die zich op de keychain richtte, destijds nog voor OS X. De malware draagt de naam Keydnap en fungeert bovendien als backdoor.

Wardle demo

Door Sander van Voorst

Nieuwsredacteur

Feedback • 26-09-2017 07:25
40 • submitter: Scotix

26-09-2017 • 07:25

40

Submitter: Scotix

Lees meer

VS klaagt man aan voor dertien jaar lang slachtoffers begluren met Mac-malware
VS klaagt man aan voor dertien jaar lang slachtoffers begluren met Mac-malware Nieuws van 11 januari 2018
Apple fixt macOS-bug die met onjuist wachtwoord toegang gaf tot App Store-opties
Apple fixt macOS-bug die met onjuist wachtwoord toegang gaf tot App Store-opties Nieuws van 10 januari 2018
Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra
Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra Nieuws van 29 november 2017
Lek liet aanvaller macOS-systeem overnemen met usb-drive
Lek liet aanvaller macOS-systeem overnemen met usb-drive Nieuws van 23 november 2017
'Oude FruitFly-malware dient tot het in de gaten houden van Mac-gebruikers'
'Oude FruitFly-malware dient tot het in de gaten houden van Mac-gebruikers' Nieuws van 24 juli 2017
'MacOS-malware is moeilijk in kaart te brengen door missende antivirusproducten'
'MacOS-malware is moeilijk in kaart te brengen door missende antivirusproducten' Nieuws van 14 april 2017
'Back-upwachtwoorden iOS 10 aanzienlijk sneller te kraken dan iOS 9'
'Back-upwachtwoorden iOS 10 aanzienlijk sneller te kraken dan iOS 9' Nieuws van 23 september 2016
Mac-versie Transmission bevatte voor de tweede keer malware
Mac-versie Transmission bevatte voor de tweede keer malware Nieuws van 30 augustus 2016
Onderzoekers vinden OS X-malware die gegevens uit keychain steelt
Onderzoekers vinden OS X-malware die gegevens uit keychain steelt Nieuws van 7 juli 2016
'OS X-beveiligingsprogramma Gatekeeper nog steeds lek na patch'
'OS X-beveiligingsprogramma Gatekeeper nog steeds lek na patch' Nieuws van 15 januari 2016
Onderzoekers krijgen malware die wachtwoorden steelt in App Store iOS en OS X
Onderzoekers krijgen malware die wachtwoorden steelt in App Store iOS en OS X Nieuws van 17 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Apple Security

Reacties (40)

-Moderatie-faq
40
40
20
2
0
14
Wijzig sortering

Sorteer op:

Weergave:
ASS-Ware 26 september 2017 07:36
De vraag die je jezelf kan stellen is: "Heb ik key chain echt nodig?".
Natuurlijk is het handig als je, bijvoorbeeld, een wifi password op het ene apparaat intypt dat deze ook gelijk op het andere apparaat werkt, maar als je passwords centraal worden opgeslagen, dan loop je ook extra risico.
Ik twijfel nog.
xoniq @ASS-Ware26 september 2017 09:24
Natuurlijk is het handig als je, bijvoorbeeld, een wifi password op het ene apparaat intypt dat deze ook gelijk op het andere apparaat werkt
Dat gaat over iCloud keychain specifiek, dat is niet het ding. Dit is de lokale keychain, waar alles in komt te staan. Dus de centrale kluis.
ATS @ASS-Ware26 september 2017 08:00
Ja, Keychain (of een alternatief zoals LastPass, Keepass of een van de vele anderen) is nodig. Het gebruik ervan maakt het in de praktijk mogelijk om voor elke site en service een apart wachtwoord te gebruiken. En het risico dat daar iets mis gaat is groter dan dat je password store gehackt wordt. Dan wil je dat een gehackte login op die ene site geen gevolgen heeft voor de rest van je logins.
Zarhrezz @ATS26 september 2017 09:51
Tja, maar je creëert wel een single point of failure, dat ook nog eens extreem interessant is voor aanvallers.

Je kunt je ook afvragen of 100 compleet verschillende en extreem veilige passwords voor 100 sites ook echt nodig is. Ik geloof het niet; niet elke site beschikt over even gevoelige informatie en je kunt sites groeperen per risico-categorie:
  • Geen NAW gegevens
  • NAW, geen betalingsgegevens
  • NAW + betalingsgegevens
  • NAW + 'identiteitsgegevens' (BSN)
  • Geautoriseerd voor financiële transacties
Per categorie een password, per site aangevuld met een site-afhankelijk deel. Met 4-6 passwords ben je dan rond, dat kun je makkelijk onthouden. Het risico is ook beperkt; bij een lek op een site in een bepaalde categorie lekt er bepaalde informatie...als vervolgens alle sites in die categorie ook getroffen worden, lekt er geen extra informatie. Voor de categorieën met informatie die gebruikt kan worden voor identiteitsfraude of het doen van financiële transacties is een uniek password per site te overwegen...zoveel sites zullen dat niet zijn (DigiD, de bank, paypal, ...) zodat je alsnog onder de 10 passwords blijft.

Wat met password managers ook nog wel eens vergeten wordt, is dat het zwakste punt niet de bewaarder van die passwords is (die zijn echt wel goed beveiligd) maar het minst veilige device waar je de manager op gebruikt. Een password manager op een Android 4.x device is net zo veilig als Android 4.x is.
laptopleon @Zarhrezz26 september 2017 10:21
Mja, dit doen veel mensen al, heb ik de indruk, maar wat als je bijvoorbeeld ook nog sites, email accounts etc. beheert voor je werk? Wachtwoorden van familie en anderen zoals kinderen of juist ouderen, die jou in vertrouwen nemen omdat ze iemand nodig hebben om op terug te kunnen vallen?

Die wachtwoorden wil je niet hetzelfde hebben, want – bij bedrijven bijvoorbeeld – kan de schade qua PR zowel als qua praktische problemen, soms zelfs direct financiële risico's, aanzienlijk zijn.

Dan is een wachtwoord-manager wel zo praktisch en veilig. Aangezien ze meestal alleen bij websites werken, is system-wide wachtwoordbeheer een uitkomst. Typisch iets wat je van Apple verwacht, want een speerpuntje qua gebruiksvriendelijkheid.
xoniq @ATS26 september 2017 09:26
Het voordeel is dan ook (als je Safari gebruikt) dat je direct bij wachtwoord velden een erg sterke suggestie krijgt, indien je die accepteert, komt dit direct in je keychain, en is dit (indien je iCloud keychain gebruikt) ook direct beschikbaar in Safari op je andere apparaten.
xs4me @xoniq26 september 2017 10:05
Je kunt met Chrome en Firefox overigens ook gebruik maken van ingebouwde password manager en deze synced met al je devices.
Net wat je wilt.

Geen idee hoe veilig die zijn, maar van Apple Keychain weten we nu iig dat die wss niet echt veilig is.

[Reactie gewijzigd door xs4me op 24 juli 2024 11:24]

Rouwette @xs4me26 september 2017 14:13
Ik gebruik de chrome versie gekoppeld aan m’n gmail adres en werkt idd prima op al m’n apparaten.
sumac @ATS26 september 2017 15:05
Dit gaat ook over het wachtwoord voor het account op je mac. Daarmee geef je toegang tot het gehele systeem, kun je een keylogger installeren, en dan wordt het ook met Keepass en Lastpass een stuk lastiger. Je hebt dan eigenlijk 2FA nodig. Bij Lastpass is dat goed geregeld, en hoef je die alleen te gebruiken bij nieuwe apparaten en vervolgens eens in de maand. Bij Keepass kun je een lokale key gebruiken, maar die is ook niet meer veilig bij deze hack.
Yoshi @ASS-Ware26 september 2017 07:39
Dat is niet de vraag die je je moet stellen (of toch niet op die manier). Je moet je de vraag stellen maken we een patch of niet. En indien niet slopen we het er gewoon niet uit. Ook bij het antwoord van Apple daar durf ik mijn bedenkingen bij stellen, hoewel ik mij anderzijds moeilijk kan voorstellen dat ze niet aan een patch bezig zijn. Maar het lijkt me een antwoord dat ik bij andere softwaregiganten ook al heb gezien. En meestal in tijden dat ze niet zo goed bezig zijn op het gebied van security.

Verder vind ik ook
"Apple marketing has done a great job convincing people that macOS is secure, and I think that this is rather irresponsible and leads to issues where Mac users are overconfident and thus more vulnerable," he added.

In his tweet, Wardle suggested that Apple should launch a macOS bug bounty program "for charity." Right now, Apple only has
Nuja, ik ga er wel vanuit dat de meeste tweakers wel weten dat niet elk os 100 procent veilig is.
and to pay careful attention to security dialogs that macOS presents."
Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.

*edit:foutjes
**edit:toevoeging quotes

[Reactie gewijzigd door Yoshi op 24 juli 2024 11:24]

Croga @Yoshi26 september 2017 08:09
Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.
Precies. We weten al jaren en jaren dat "security warnings" niet werken. Dan kun je twee dingen doen:
- Proberen de manier waarop mensen in de basis in elkaar steken veranderen en blijven zeggen "Dan moet je maar opletten". Interessante uitdaging maar Microsoft heeft dat ondertussen opgegeven omdat het simpelweg niet werkt.
- Je spullen daadwerkelijk veilig maken. ZEKER als het gaat over iets waarvan je iedere keer blijft roepen dat het zo enorm veilig is.
Myrdhin @Croga26 september 2017 10:17
- Je spullen daadwerkelijk veilig maken. ZEKER als het gaat over iets waarvan je iedere keer blijft roepen dat het zo enorm veilig is.
Dus gewoon niet toestaan dat unsigned apps gestart kunnen worden? Dan krijg je vast weer een hoop gezeur dat je dan weer van Apple afhankelijk wordt gemaakt, etc etc. Welke oplossing je ook verzint er zit altijd wel een flinke "maar" aan waarvan anderen weer vinden dat dat niet de manier is.
BikkelZ @Myrdhin26 september 2017 13:25
Daarbij is de Mac App Store relatief onaantrekkelijk omdat macOS altijd meer open was dan iOS. Zaken als trials zijn slecht uitgewerkt bijvoorbeeld. Het Adobe of JetBrains model met licenties zou ook moeilijk te realiseren zijn.
z1rconium @Yoshi26 september 2017 08:50
Dat dus. Dat doet jan met de pet helemaal niet, wat echt het grootste deel van gez**k is op elk OS wat je maar aan de gebruiker presenteert.
Je kunt die app niet zomaar openen.

Als je dubbelklikt krijg je een melding dat je hem niet kunt openen (unsigned developer).

Om het toch voor elkaar te krijgen moet je rechtermuis > open klikken en dan forceren of via preferences "open anyway" of heel de gatekeeper via de terminal uitzetten.
xFeverr @z1rconium26 september 2017 09:19
Ja dat klopt, maar dit komt ook wel eens voor bij applicaties die gewoon goed zijn. Zodra een persoon maar vaak genoeg een melding krijgt en weet hoe hij er omheen moet werken, kijken ze helemaal nergens meer naar.

Je ziet het ook met UAC. Gewoon op ja drukken, of zoals in Mac OS: gewoon je password invullen. Het zal wel goed zijn, de vorige 8483943 keer was het ook goed.

Wat je dan wel moet doen? Geen flauw idee...
De gebruiker opvoeden?
laptopleon @xFeverr26 september 2017 10:04
Uiteindelijk helpt niets tegen een achteloze gebruiker. Niet voor niets is al 20 jaar het gros van de succesvolle hacks (in het algemeen, niet specifiek bij MacOS) te danken aan 'social engineering'. Mensen foppen.
johnbetonschaar @xFeverr26 september 2017 11:25
Je ziet het ook met UAC. Gewoon op ja drukken, of zoals in Mac OS: gewoon je password invullen. Het zal wel goed zijn, de vorige 8483943 keer was het ook goed.
Het grote verschil tussen UAC en hoe het op macOS werkt is dat je op macOS eigenlijk maar zeer zelden een wachtwoord popup krijgt, omdat de default mode waarop het OS werkt is dat je applicaties installeert via de mac App Store, of van een ontwikkelaar die zijn applicaties ondertekent met een door apple geverifieerde key die kan worden ingetrokken als er malware in de software blijkt te zitten (praktisch elke zichzelf respecterende macOS ontwikkelaar dus). Eigenlijk alleen als je via dubieuze bronnen software installeert, of als je software installeert die systeemonderdelen/settings wijzigt krijg je een wachtwoord prompt. Het aantal prompts is dusdanig laag dat het (in ieder geval mij) altijd opvalt als er ineens eentje opduikt, waardoor je toch wel 2 keer nadenkt voor je op OK drukt. Eigenlijk is alleen de Java plugin die elke twee weken weer een beveilingsupdate wil installeren een regelmatige bron van wachtwoord pop-ups bij mij.

Verder is het inderdaad natuurlijk waar dat 99% van de 'beveilingslekken' gewoon social engineering zijn en weinig met het OS te maken hebben. Tegen stompzinnigheid van de gebruiker is geen enkele technologie opgewassen.

[Reactie gewijzigd door johnbetonschaar op 24 juli 2024 11:24]

BikkelZ @z1rconium26 september 2017 13:25
Als je dubbelklikt krijg je een melding dat je hem niet kunt openen (unsigned developer).
Dat is omdat hij te gierig was om US$ 99,- af te tikken voor een geldige licentie, niet omdat een signed applicatie veilig is.
z1rconium @BikkelZ26 september 2017 14:24
Dat klopt. Als deze gesigned zou zijn, dan word je ook traceerbaar, wat voor feestje zou het worden bij daadwerkelijke malware denk je?
BikkelZ @z1rconium26 september 2017 14:29
Je hebt helemaal geen verifieerbare data nodig voor een betaald developer account, tenzij je een zakelijk account wil (D.U.N.S. etcetera), een credit card is voldoende. Iets waar de gemiddelde cracker natuurlijk ook niet zijn eigen voor gebruikt.
z1rconium @BikkelZ26 september 2017 14:49
En dan zegt Apple: revoke. App doet niets meer.
BikkelZ @z1rconium26 september 2017 15:47
Volgens mij werkt distributie buiten de App Store dan nog prima. Waarom je ook gewoon altijd als je de keuze hebt via de App Store moet downloaden.
Verwijderd @Yoshi26 september 2017 08:17
Twijfelen aan Apples antwoord op deze kwestie is altijd goed maar uiteindelijk heeft Apple wel degelijk een goed punt.
Om een app te instaleren heb je gewoonweg een wachtwoord nodig, voor een ongesigneerde app moet je zelfs bij "security" inloggen om ook maar één stapje verder te komen.
Apple heeft zijn zaakje dus meervoudig beveiligd en deze onderzoeker heeft slecht een deurtje op een kiertje gekregen en een hele deur open door zijn eigen hoofdwachtwoord in te vullen.
readefries @ASS-Ware26 september 2017 07:55
Ik krijg niet de indruk dat dit probleem gerelateerd is aan iCloud Keychain, maar aan Keychain zelf.
z1rconium @ASS-Ware26 september 2017 07:59
Je hebt het misschien niet nodig, maar kleine kans dat je het niet gebruikt; certificaten, wifi wachtwoorden, imessage signing keys staan er in.

Maar goed dit is een proof of concept, niet veel anders dan een .exe naar iemand sturen, laten klikken en toegang geven, als dan ook nog je poorten op je router open staan, dan zou iemand eventueel je wachtwoorden kunnen zien.

Met een "crafted" app kun je natuurlijk heel veel. Je kunt ook een app maken die om je wachtwoord vraagt en ook dan zijn er mensen die het ingeven, dan kun je nog veel meer. Daar staan nog legio CVE's van open voor elk OS.
JackBol @ASS-Ware26 september 2017 08:00
In mijn ogen kan je tegenwoordig niet meer zonder een password manager.
Het is sowieso een no-no om op meer dan 1 plek het zelfde paswoord te gebruiken, dat heeft het verleden inmiddels wel uitgewezen. Dus tenzij je 100den wachtwoorden kan onthouden, zelfs voor obscure sites, zul je toch een handje geholpen moeten worden.
tom.cx @ASS-Ware26 september 2017 08:03
Het is niet echt een keuze. Als je in Outlook, Skype voor bedrijven, VPN software, spotify, ect het wachtwoord opslaat voor je account worden deze in KeyChain gezet. Als je deze reset moet je overal het wachtwoord weer opnieuw invoeren. Ook wachtwoorden die gemaakt zijn binnen safari. Allemaal weg.

Wij moeten op het werk na het wijzigen van het wachtwoord van het AD account nog wel eens de Keychain resetten omdat deze moeite heeft met AD accounts op MacOS. Ondanks dat een MacBook een domain join kan maken mag Apple ook eens beter luisteren naar de zakelijke markt. Maar dat is een ander verhaal.
uselessbrain @ASS-Ware26 september 2017 08:23
De vraag is of je 3 meldingen hebt omzeilt van apple waardoor dit kan gebeuren?
Onbekende bronnen installatie moet je een handeling voor doen voordat het daadwerkelijk kan.
Vexxon 26 september 2017 09:18
Apple reageerde tegenover ZDNet op de ontdekking en zegt dat de macOS-beveiliging Gatekeeper in dit geval zou waarschuwen dat de app niet ondertekend is en dat er daarom eerst toestemming moet worden gegeven om deze uit te voeren.
Die reactie van Apple vind ik eerlijk gezegd ook wat makkelijk. We weten dondersgoed dat gebruikers op 'Ja' en 'Ok' klikken om door te gaan.
"Als een gepassioneerd mac-gebruiker word ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Dat bedoel ik niet als aanval op iemand bij Apple, maar elke keer dat ik het OS onderzoek komt er wel iets aan het licht."
Om nog maar eens aan te tonen dat macOS niet per definitie veiliger is dan andere OS-en.

[Reactie gewijzigd door Vexxon op 24 juli 2024 11:24]

Myrdhin @Vexxon26 september 2017 10:20
Die reactie van Apple vind ik eerlijk gezegd ook wat makkelijk. We weten dondersgoed dat gebruikers op 'Ja' en 'Ok' klikken om door te gaan.
Zo simpel is het dus niet. Je moet naar de beveiligingsvoorkeuren toe en daar uiteindelijk de applicatie goedkeuren. Dat zijn wat meer stappen dan simpel een wachtwoord invullen en op OK klikken. Het lastige is gewoon dat als er mensen aan te pas komen er beveiligingsgaten ontstaan. Gewoon omdat men denkt: het zal wel, ik keur het gewoon goed.
Vexxon @Myrdhin26 september 2017 10:24
Ah bedankt voor de extra info.
Het lastige is gewoon dat als er mensen aan te pas komen er beveiligingsgaten ontstaan
Precies, maar wat men vaak vergeet is dat niet alleen bij het gebruik van software mensen fouten maken, maar ook bij het maken ervan. En zelfs bij Apple blijken mensen te werken, althans daar ga ik vanuit.
laptopleon @Vexxon26 september 2017 10:27
Eh… Hoe zie je dit dàn voor je? Unsigned software komt voorbij, de gebruiker kan het niet openen en dan? Dan heeft Apple het gedaan want dan is macOS 'niet gebruikersvriendelijk'.

Hoe stel je dan voor hoe het moet gaan?
Frogmen 26 september 2017 08:05
Het vervelende is dat de software om die wachtwoorden op te slaan ook net zo veilig is als de makers kunnen tot er een hack is of software die het gewone gebruik misbruikt.
Mic2000 @Frogmen26 september 2017 08:28
huh :?
ProjWorld @Mic200026 september 2017 17:28
Volgens mij bedoelt hij een (ongedocumenteerde) API-call met een (mogelijk) kwaadaardig effect, op een manier die niet voorzien was. Kan dus een hack of backdoor ofzo zijn...
pBook 26 september 2017 08:57
Dit geldt alleen voor data is unencrypted is opgeslagen, standaard worden alle wachtwoorden encrypted in de keychain opgeslagen.
Wh4ck0 26 september 2017 11:41
Wat is er gebeurd met wachten tot er een patch uit is, en dan je bevindingen openbaar maken?
BikkelZ 26 september 2017 13:30
Dit is erg vervelend. Ik gebruik weliswaar KeePassX voor al mijn passwords maar ik heb vaak voor het gemak website passwords (ook) in KeyChain staan. Zaken als Git passwords zijn ook vaak geïntegreerd met Keychain. Dus mensen die beweren dat je gewoon een password manager moet gebruiken hebben maar ten dele gelijk.

Ik hoop dat er snel een patch komt en dat er bij Apple even wat meer geld richting macOS gedirigeerd gaat worden want de grote sprongen qua security worden gewoon niet meer gemaakt. Windows wordt steeds beter sinds Vista maar macOS blijft eigenlijk sinds 1999 redelijk gelijk. Het was echt fantástisch voor die tijd maar goed we zijn bijna 20 jaar verder.

Waar ik geen goed zicht op heb is welke passwords echt "plain text" zijn. Ik neem aan alle passwords die ik zichtbaar kan maken na het aanvinken van "show password"? Of kunnen die alsnog encrypted zijn icm mijn password?
pBook @BikkelZ26 september 2017 14:43
Blijft de security van macOS sinds 1999 gelijk? Hier een klein lijstje wat we er de afgelopen (recente) jaren in de verschillende releases erbij hebben gekregen:
  • XProtect
  • Gatekeeper
  • FileVault 2
  • Sandboxing
  • ASLR
  • SIP
  • Kext signing
BikkelZ @pBook26 september 2017 15:58
Ik zeg niet dat er helemaal niets gebeurt maar als je kijkt wat voor ontwikkeling Windows in de zelfde tijd doorgemaakt heeft op dat gebied dan is macOS van koploper naar volger gegaan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq