Ex-NSA-hacker waarschuwt voor lek in macOS High Sierra
Rutger Otto

Uren voordat de nieuwe versie van macOS uitkwam, waarschuwde een oud-NSA-hacker voor een wachtwoordlek in het besturingssysteem. Daarmee kunnen kwaadwillenden zonder wachtwoord toegang krijgen tot Sleutelhanger.

MacOS High Sierra lek

Het lek werd gevonden door voormalig NSA-hacker Patrick Wardle, schrijft ZDnet. In een video toont Wardle aan hoe hij toegang krijgt tot Sleutelhanger op macOS High Sierra. Sleutelhanger is de software van macOS waarin wachtwoorden van gebruikers versleuteld worden opgeslagen. Om daar toegang toe te krijgen, is een hoofdwachtwoord nodig.

Maar het is Wardle dus gelukt om in Sleutelhanger te komen, zonder over het hoofdwachtwoord te beschikken. Volgens de hacker is niet alleen de nieuwste versie van het besturingssysteem voor Macs lek, maar kampen ook oudere versies met het probleem.

Lees ook: macOS High Sierra nu beschikbaar

Bug gemeld

Voor de hack gebruikte Patrick Wardle een app genaamd ‘keychainStealer’ die niet in de App Store beschikbaar is. Deze ‘plugin’ zou wel onderdeel kunnen uitmaken van een betrouwbaar uitziende app of deelbaar zijn via e-mail. “Als ik een aanvaller was, zou ik hier gebruik van maken”, zegt Wardle.

De ex-NSA-hacker, die tegenwoordig als beveiligingsonderzoeker bij Synack werkt, heeft de bug eerder deze maand al bij Apple gemeld. “Helaas is het niet opgelost met de komst van High Sierra”, zegt hij. “Als gepassioneerd Mac-gebruiker raak ik steeds opnieuw teleurgesteld in de beveiliging van macOS. Elke keer als ik het systeem onderzoek, vind ik weer iets nieuws.”

‘Alleen downloaden uit de Mac Store’

Volgens Wardle heeft Apple mensen overtuigd dat macOS heel veilig is. “Dit is wel wat onverantwoordelijk, want nu denken consumenten dat hen niets kan overkomen. Daardoor raken ze juist kwetsbaar.” Apple stelt in een reactie dat macOS standaard is ontworpen om veiligheid te bieden. “We raden gebruikers aan om alleen software te downloaden via betrouwbare bronnen als de Mac App Store.”

Het is niet duidelijk of Apple de bug gaat patchen en wanneer dat dan gebeurt.

Lees het laatste nieuws over Apple

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.