Gond nélkül ellophatók a felhasználók jelszavai az Apple legfrissebb operációs rendszerének sebezhetősége miatt.
Hirdetés
 

High Sierra néven jelent meg a macOS legújabb frissítése a Mac felhasználók számára, mely többek között olyan érdekességeket tartalmaz, mint a Safari immár automatikus lejátszást blokkoló változata. Emellett a file-rendszerben is változás történt: megjelent az Apple File System (APFS). És egy jó nagy sebezhetőség is, ami szélesre tárja a kaput a hackerek előtt.

Alcím
Míg az Android Nougat egy év alatt mindössze 16 százalékot tudott elérni (az Oreo pedig gyakorlatilag kimutathatatlan), addig az iOS 11 kevesebb mint egy hét alatt megdöntötte ezt a rekordot. Egy felmérés szerint hétfőn az összes érintett Apple eszköz 25,12 százalékán futott az új operációs rendszer.

Ezzel párhuzamosan az iOS 10 használóinak aránya 92 százalékról 68 százalékra zuhant. A régebbi platformról áttérők azonban minden bizonnyal nem fognak örülni annak, amire a Wandera nevű, mobilbiztonsági cég bukkant: az új operációs rendszerrel ugyanaz a készülék bizonyos körülmények között jelentősen hamarabb lemerül.

„Nem igényel root jogosultságot és 100 százalékban sikeres”

Patrick Wardle, az NSA (az amerikai Nemzetbiztonsági Hivatal) korábbi elemzője, és a Synack nevű, IT-biztonsági cég kutatási igazgatója fedte fel a platform biztonsági hiányosságát. Bemutatója szerint a hackerek ki tudják szedni a Keychainben tárolt jelszavakat plaintext formában. Ahhoz egyébként, hogy hozzá lehessen férni a belépőkódokhoz, szükség van egy mesterjelszóra, ennek ismeretében nem lehet hozzájutni az információhoz. Wardle cége azonban rájött, hogyan lehet megkerülni ezt a védelmet, és előcsalni a jelszavakat a fő azonosító használata nélkül.

KeychainStealer alkalmazásával arra késztette a Mac digitális kulcskarikáját, hogy a Twitterhez, Facebookhoz és a Bank of America szolgáltatáshoz használt jelszavakat egyszerű szövegként átadja. És ehhez még adminisztrátori (root) jogosultságokkal sem kell rendelkezni, elegendő, hogy a felhasználó be legyen jelentkezve. Ebben a helyzetben az appal gyakorlatilag az összes jelszava megszerezhető.

Napjaink támadásainak többsége valamilyen módon alapoz a social engineering technikára. Mivel ez platformtól független, az emberi hiszékenységre, becsaphatóságra építő módszer, ezért a biztonságosabb(nak gondolt) Mac platformot használók ellen is hatásos. „Nem mondom azt, hogy a sebezhetőség kihasználása elegáns – de működik: nem igényel root jogosultságot és 100 százalékban sikeres” – foglalta össze Wardle.

„Nincs nagy baj, csak legyenek résen!”

A szakember már szeptember elején felvette a kapcsolatot az Apple-lel, és várakozása szerint a cég hamarosan meg is fog jelenni egy patch-csel. A vállalat ugyanakkor egyelőre azzal bagatellizálja a problémát, hogy maga a rendszer biztonságos. A macOS biztonságosra lett tervezve, a Gatekeeper pedig figyelmezteti a felhasználókat külső fejlesztők alkalmazásainak telepítése előtt, megakadályozva a felhasználó kifejezett engedélye nélküli futásukat, olvasható a cég közleményében.

Arra bíztatja a Mac-eseket az almás vállalat, hogy csak megbízható forrásból töltsenek le szoftvereket, nem meglepő módon a Mac App Store-t javasolva a felhasználóknak. Ezen felül óva intette az érintetteket, hogy mindig vegyék komolyan a biztonsági párbeszédablak figyelmeztetéseit.

Azért reméljük, nemsokára lesz javítás a biztonsági hiányosságra.

Biztonság

Játszik a GTA V-tel? Lehet, hogy közben ön is bitcoint bányászott

Egy mod segítségével juttattak nem kívánt állományokat GTA V-öt futtató gépekre, hogy azok kriptovalutát bányásszanak a támadóknak.
 
Hirdetés

Megújult a First Class csomag – uniós adatroaming akár 70 gigabájtig

A változtatásokkal az elsősorban üzleti ügyfelek igényeire szabott ajánlat még rugalmasabb, miközben a prémium jellege is megmarad.

A technológiai fejlődés jó, csak épp még az adatvédelmi kockázatok is nőnek vele. A vállalatoknak pedig ezzel kell valamit kezdeni a változó adatkezelési szabályozás miatt. Összegyűjtöttük, mire kell figyelni.

a melléklet támogatója az Aruba Cloud

Hirdetés

A CISPE adatvédelmi magatartási kódex szerint szolgáltat az Aruba

Az Aruba Cloud minden felhőszolgáltatása megfelel azoknak az előírásoknak, amelyeket az európai felhőinfrastruktúra-szolgáltatók szakmai szövetsége adatvédelmi magatartási kódexében rögzített.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.