MacOS có một lỗ hổng nghiêm trọng mới về cơ bản khiến mật khẩu máy tính của bạn dễ bị tin tặc đánh cắp. Tên của nó: KeySteal.
Ở đây bạn có thể thấy nó hoạt động:
Lần đầu tiên được báo cáo bởi ấn phẩm công nghệ Heise Online, lỗ hổng bảo mật mở ra cánh cửa để đánh cắp tất cả mật khẩu trong chuỗi khóa “đăng nhập” và “Hệ thống” của máy Mac, khiến bạn có thể bị tấn công ngay cả khi bạn có các biện pháp bảo mật như Danh sách kiểm soát truy cập và Bảo vệ toàn vẹn hệ thống sử dụng chip bảo mật T2 mới nhất của Apple.
Việc khai thác KeySteal được phát hiện và công bố bởi nhà nghiên cứu bảo mật Linus Henze, một người hâm mộ hệ điều hành macOS và iOS, người đã có thành tích phát hiện các lỗ hổng khác trong quá khứ. Anh cũng là thành viên của Sauercloud, một đội bảo mật máy tính của Đức tham gia vào các cuộc thi hack Capture The Flag. Nói cách khác: khai thác của anh ta có lẽ hầu hết không được tạo dựng, nhưng rất thực tế.
Cách duy nhất để bảo vệ chuỗi khóa máy tính của bạn là khóa chuỗi khóa đăng nhập bằng một mật khẩu bổ sung, điều này sẽ dẫn đến việc macOS yêu cầu bạn nhập mật khẩu đó mỗi khi bạn cố gắng thực hiện hầu hết mọi thứ với máy tính của mình.
May mắn thay, chuỗi khóa iCloud không bị ảnh hưởng. Không có tin tức nào về việc Apple thừa nhận sự cố này, nhưng chúng tôi đã liên hệ với họ và chúng tôi cập nhật bài viết này với bất cứ điều gì họ nói.
Đây là lần vi phạm lớn thứ hai trong bảo mật của macOS Keychain, vốn đã có một lỗ hổng nghiêm trọng khác vào tháng 9 năm 2022-2023. Lỗ hổng đó đã được Apple đóng lại, nhưng lỗ này thì chưa - và nó có thể chưa được vá trong một thời gian khá dài.
Lý do: Henze đang phản đối việc Apple thiếu tiền thưởng bảo mật cho macOS. Mặc dù Apple cung cấp phần thưởng cho những người tìm thấy lỗ hổng tấn công trong iOS, nhưng Apple không cung cấp chương trình tương tự cho máy tính macOS. Henze cho rằng điều này thật ngu ngốc và không công bằng - chưa kể đến dấu hiệu của việc Apple thiếu cam kết nghiêm túc đối với bảo mật hệ điều hành máy tính của họ - và do đó đã quyết định không chia sẻ quy trình sửa lỗi, kêu gọi người khác làm điều tương tự.
Thiết lập các chương trình tiền thưởng lỗ hổng bảo mật là một thực tế thường xuyên trong ngành công nghiệp máy tính vì nó thúc đẩy tăng cường bảo mật, mang lại cho nhiều người thông minh lý do để đầu tư thời gian của họ vào việc tìm kiếm vấn đề. Ngay cả Tesla của Elon Musk cũng có một chương trình như vậy để tăng cường bảo mật cho những chiếc xe điện được kết nối internet của ông ấy.
Bài đăng này ban đầu xuất hiện trên Hướng dẫn của Tom.
- Lỗi gián điệp FaceTime của Apple: Điều bạn cần biết
- Trình quản lý mật khẩu tốt nhất - Lastpass so với Dashlane và 1Password
- Bạn có nên sử dụng Trình quản lý mật khẩu?