เครื่องมือใหม่ช่วยให้ผู้โจมตี Mac OS X กับการเข้าถึงระบบรากได้อย่างง่ายดายขโมยรหัสผ่านพวงกุญแจข้อมูลของผู้ใช้เข้าสู่ระบบและตอกย้ำ อันตรายจากการให้สิทธิผู้ดูแลระบบแก่แอพพลิเคชันโดยไม่ได้รับการพิจารณาอย่างจริงจัง

พวงกุญแจของ Mac OS X เป็นระบบจัดการรหัสผ่านที่ออกแบบมาเพื่อให้สามารถจัดเก็บและเข้าถึงรหัสผ่านผู้ใช้สำหรับบัญชีและแอพพลิเคชั่นประเภทต่างๆได้อย่างปลอดภัย

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

"รหัสผ่าน ในไฟล์ keychain จะถูกเข้ารหัสหลาย ๆ ครั้งด้วยคีย์ต่างๆ "Salonen กล่าวเมื่อวันพุธในโพสต์บล็อก "คีย์เหล่านี้บางคีย์ถูกเข้ารหัสโดยใช้คีย์อื่น ๆ ที่เก็บไว้ในไฟล์เดียวกันในรูปแบบของตุ๊กตารัสเซีย"

"คีย์ [master] ที่สามารถเปิดตุ๊กตาสุดนอกและเริ่มต้นการสร้างน้ำตกถอดรหัสทั้งหมดได้จากส่วนของผู้ใช้ รหัสผ่านเข้าสู่ระบบโดยใช้ PBKDF2 [the key encryption derivation function], "Salonen กล่าวเมื่อวันพุธที่ผ่านมาในบล็อกโพสต์

keenkendump ของ Salonen ใช้เทคนิคการจดจำรูปแบบเพื่อสแกนพื้นที่หน่วยความจำของ" securityd "ซึ่งเป็นกระบวนการที่จัดการการทำงานของพวงกุญแจใน Mac OS X - และค้นหาคีย์หลักพวงกุญแจ

Keychaindump ไม่ใช้ช่องโหว่ใน Mac OS X หรือ securityd อย่างไรก็ตามจะใช้ประโยชน์จากตัวเลือกการออกแบบของ Apple เพื่อปลดล็อกพวงกุญแจของผู้ใช้โดยอัตโนมัติเมื่อเข้าสู่บัญชีและจัดเก็บคีย์หลักที่สอดคล้องกันในหน่วยความจำเพื่อให้เข้าถึงได้ง่ายขึ้น

นี่ไม่ใช่การตัดสินใจในการออกแบบที่ไม่ถูกต้องและการใช้กลไกการเข้าถึงพวงกุญแจ ในลักษณะที่แตกต่างกันตัวอย่างเช่นโดยขอให้ผู้ใช้ป้อนรหัสผ่านพวงกุญแจทุกครั้งที่แอปพลิเคชันต้องการเข้าถึงข้อมูลพวงกุญแจจะไม่ส่งผลกระทบต่อความสามารถของผู้โจมตีที่มีสิทธิ์เข้าถึงรากเพื่อขโมยข้อมูลพวงกุญแจ เพราะเหตุนี้จึงเป็นที่ทราบกันดีว่าคุณสามารถทำอะไรได้จากระบบปฏิบัติการจากบัญชีผู้ดูแลระบบ

"News flash รากยังสามารถฟอร์แมตฮาร์ดดิสก์ของคุณได้ข่าวที่ 11" แฮ็กเกอร์แอ็กเกอร์ชื่อดัง ชาร์ลีมิลเลอร์กล่าวใน Twitter เมื่อเรียนรู้เกี่ยวกับเครื่องมือของ Salonen

"สิ่งที่ฉันอธิบายไว้ไม่ใช่ความเสี่ยงด้านความปลอดภัยใน OS X เนื่องจากต้องใช้สิทธิ์ root ในการเริ่มต้นด้วย" Salonen กล่าวในวันพฤหัสบดีทางอีเมล สิ่งที่ทำให้ Keychaindump แตกต่างจากวิธีการขโมยรหัสผ่านระดับรากที่เป็นไปได้อื่น ๆ คือความเร็วและความง่ายที่จะทำให้บรรลุเป้าหมายได้

Salonen หวัง ว่าเครื่องมือนี้จะใช้กับผู้ทดสอบการเจาะที่ได้รับอนุญาตซึ่งต้องการคว้ารหัสผ่านในสถานการณ์จำลองระบบการประนีประนอมอย่างรวดเร็ว

อย่างไรก็ตามเครื่องมือนี้สามารถรวมเข้ากับมัลแวร์ได้เนื่องจากรหัสต้นฉบับของซอฟต์แวร์นั้นสามารถใช้งานได้แบบออนไลน์ได้อย่างอิสระ

มัลแวร์ Mac ที่รันตาม root ไม่ใช่เหตุการณ์ที่ผิดปกติ Lysa Myers นักล่าไวรัสที่ บริษัท Inte ผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสของ Mac เปิดเผยว่าทางอีเมล์ "สองวิธีที่พบมากที่สุดเพื่อให้บรรลุการเข้าถึงรากคือการหาประโยชน์และวิศวกรรมทางสังคมวิศวกรรมทางสังคมที่ห่างไกลและเป็นที่นิยมโดยทั่วไปเนื่องจากมันค่อนข้างง่ายที่จะหลอกใครสักคน"

วิศวกรรมทางสังคมในบริบทนี้ประกอบด้วย มัลแวร์ปลอมตัวเป็นโปรแกรมที่ถูกต้องและขอให้ผู้ใช้ให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบ

"ฉันเองกังวลว่าการสร้างรากบนเครื่อง Mac ได้ง่ายเพียงใด" "ไม่ใช่เพราะช่องโหว่ แต่เนื่องจากคุณใช้งานได้ตลอดเวลาในการใช้งานแบบวันต่อวัน"

"ตัวอย่างเช่นฉันเพิ่งเรียกดูโฟลเดอร์ / Applications ของฉันและสังเกตเห็นว่าแอพพลิเคชันส่วนใหญ่ของฉันเป็นเจ้าของ โดยราก "Salonen กล่าวว่า "แม้กระทั่งสิ่งที่ไม่สำคัญเช่นลูกค้า IRC, เครื่องเล่นวิดีโอ, เกม, ปพลิเคชันผู้ช่วยเล็ก ๆ น้อย ๆ แม้ลูกค้า Twitter อย่างเป็นทางการแต่ละโปรแกรมติดตั้งที่มีการเข้าถึงรากในบางจุดฉันไม่จำอย่างชัดเจนให้เข้าถึงราก Twitter ฉันเพิ่งจำ รันโปรแกรมติดตั้งทั่วไปมันน่ากลัว "

ผู้เขียนมัลแวร์ Mac ได้แสดงความสนใจในข้อมูลพวงกุญแจแล้ว "หนึ่งในภัยคุกคามที่เรียกว่า DevilRobber ค้นพบปีที่แล้วใช้สคริปต์เพื่อเก็บรหัสผ่าน" ไมเออร์สกล่าว "เคล็ดลับหลักในกรณีดังกล่าวก็คือว่ามันจะตรวจสอบกล่องโต้ตอบของระบบโดยอัตโนมัติซึ่งจะแจ้งให้ผู้ใช้อนุญาตให้คีย์ของพวกเขาถูกเอ็กซ์พอร์ต"

มีแอปเปิลไม่มากนักที่จะสามารถหยุดการโจมตีด้วยการขโมยจากรากได้ ข้อมูลประจำตัวที่เก็บไว้ในพวงกุญแจของผู้ใช้ อย่างไรก็ตามมีวิธีการบางอย่างที่จะทำให้มันหนักขึ้นไปอีกนิดหน่อย

แอปเปิ้ลสามารถยกตัวอย่างรหัสผ่านกุญแจสำคัญของพวงกุญแจในหน่วยความจำและทำให้ยากสำหรับเครื่องมือเช่น keychaindump เพื่อค้นหาและดึงออกมา Arnaud Abbati, นักวิเคราะห์จากมัลแวร์ที่ Intego กล่าวว่าวันพฤหัสบดีที่ผ่านมา

แอปเปิ้ลไม่ขอคืนความคิดเห็นเกี่ยวกับทางเลือกในการออกแบบพวงกุญแจหรือความปลอดภัยของเครื่องมือของ Salonen