Falla in Mojave da accesso alle password

[powerbank17]

La fonte è MACITYNET, notizia di 1 ora fa e faccio un drag&drop di quanto riportato nell'articolo:
Linuz Henze, un ricercatore specializzato in sicurezza informatica ha individuato una falla in macOS Mojave, presente anche nell’ultima versione 10.14.3. In un video pubblicato su YouTube, filmato che riportiamo in questo articolo, il ricercatore dimostra la possibilità di accedere alle varie password salvate in Accesso Portachiavi eseguendo una utility ad hoc.


L’esperto non ha condiviso i dettagli sulla vulnerabilità con Apple spiegando di non averlo fatto perché la multinazionale di Cupertino non prevede ricompense o offerte: a suo dire Apple prevede un cosiddetto programma di bug bounty che premia chi individua vulnerabilità di questo tipo ma premia solo quelle che riguardano iOS.

Usando una sua utility che il ricercatore ha denominato KeySteal, Henze evidenzia la possibilità di individuare username e password memorizzate in Accesso Portachiavi, l’utility di serie con macOS che consente di archiviare le password e inserirle automaticamente quando necessario, ma anche cercarle facilmente quando serve.

Una falla in macOS Mojave consente di leggere le password memorizzate in Accesso PortachiaviIl ricercatore spiega che non ha importanza se è attiva o meno la lista di controllo degli accessi (ACL, access control list), in altre parole se per la chiave (la combinazione di una username e password) è attiva l’opzione nel pannello “Controllo accessi” nella finestra “Ottieni informazioni” che consente di stabilire se abbiamo bisogno di una password per utilizzare un elemento.

Henze dice che il suo sistema consente di accedere alle password di login e Sistema; non è possibile accedere alle password del portachiavi iCloud (il portachiavi che consente di mantenere aggiornate le password e altre informazioni protette su tutti i dispositivi) giacché queste sono memorizzate con un diverso meccanismo.


Henze dice che per il momento non ha intenzione di rivelare dettagli sulla vulnerabilità poiché non gradisce la politica di Apple che non premia chi individua questi bug. Invita altri ricercatori a fare pressione su Cupertino per cambiare lo stato delle cose. Non è chiaro se Apple sia a conoscenza o meno del problema.

È ad ogni modo possibile bloccare l’accesso a strumenti come il tool mostrato dallo sviluppatore bloccando Portachiavi con una ulteriore password (basta selezionare con il tasto destro del mouse/trackpad l’elemento che appare a sinistra in alto nell’elenco dei Portachiavi e scegliere “blocca portachiavi”).

LINK AL VIDEO SUL TUBO: https://youtu.be/nYTBZ9iPqsU

[Paolofast]

Il fatto che dica una fregnaccia (che Apple non paga chi scopre bug in Mac Os) già presenta il personaggio.
Apple paga (meno degli altri, per la verità), ma soprattutto il signore in questione, se non comunica a chi può mettere una toppa al bug (sempre che esista, anche l'articolista, pur nella necessità di scrivere un articolo acchiappaclick, ha i suoi dubbi) quello che ha scoperto, rischia di trovarsi la polizia alla porta.
Se il bug fosse vero, metterebbe in pericolo i dati personali quanto il bug (vero) di FaceTime.
E per quest'ultimo si sono mossi un procuratore ed una commissione parlamentare.

Aspettiamo e vediamo.

Comunque, al contrario di quello di FaceTime, questo presunto bug prevede un accesso fisico al computer da hackerare.

Anche voi se vi suona alla porta un hacker con una pennetta in mano lo fare entrare ed usare il vostro Mac con dati sensibili, vero?

[Jethro]

Anche voi se vi suona alla porta un hacker con una pennetta in mano lo fare entrare ed usare il vostro Mac con dati sensibili, vero?

Io ho comprato un portatile così posso spedirglielo comodamente e dopo un paio di giorni me lo rimanda.

[faxus]

La fonte è MACITYNET...
... un ricercatore specializzato in sicurezza informatica...

Hah...

Queste due che hai detto, singolarmente tolgono qualsiasi senso a tutto quello che possa essere detto poi.
Figuriamoci quando sono sommate.

Comunque grazie del contributo che hai dato...
... Al nostro buon umore, perché la parte con la spiegazione tecnica che segue, è comica

[giammyboy]

Ennesima fake notice ribattuta da chissà dove...