Oh un 0day dans le trousseau macOS !

@Korben — 7 février 2019

Le chercheur en sécurité Linus Henze (18 ans) a découvert une faille au niveau du trousseau de macOS, qui lui permet de récupérer les logins et mots de passes qui y sont contenus, sans avoir à déverrouiller le trousseau.

Baptisé KeySteal, cet exploit a été validé par Patrick Wardle d’Objective-See qui en avait découvert un similaire en 2017. Pour s’en protéger, il recommande de verrouiller manuellement son trousseau ou de mettre un mot de passe spécifique dessus.

Got to play with @LinusHenze's 'KeySteal'. It's a lovely bug & exploit 😍😍

✅ works on macOS 10.14.3
✅ his payload dumps passwords, private keys, & tokens

Protect yourself by:
🔐manually locking your keychain
🔐or setting a keychain-specific passwordhttps://t.co/K1hhjraH60
— patrick wardle (@patrickwardle) February 6, 2019

Ce qui fait le « charme » de cette découverte, c’est que Linus Henze n’a pas l’intention de révéler les détails de son exploit à Apple, car la société n’a pas de programme de bug bounty sur son système d’exploitation macOS. Linus Henze espère ainsi exercer une sorte de pression pour qu’Apple se décide à lancer un bug bounty sur macOS et ainsi toucher une récompense pour son travail.

Toutefois, ce bug risque d’intéresser beaucoup d’autres entités moins bien intentionnées avec de gros moyens financiers… On verra bien si le monsieur se voit offrir une somme qu’il ne pourra pas refuser ou cambrioler…

Rejoindre la discussion sur Korben Communauté

ASUS ROG Strix G12-FR037T

promo

Une tour surpuissante avec -11% de réduction

Avec son design qui frappe les esprits et ses performances impressionnantes, le ROG Strix G12CM étanche l’inlassable soif de puissance des joueurs. Il intègre un processeur Intel® Core™ i7-8700 de 8e génération overclocké en usine (6 coeurs jusqu’à 4,8 Ghz) ainsi qu’une carte graphique NVIDIA® GeForce® GTX 1060 pour vous offrir une expérience gaming qui ne connaît aucune limite

Processeur Intel Core i7 (8e génération) i7-8700
Disque dur 1To + 256SSD
Mémoire vive 16 Go DDR4 SDRAM
Windows 10 Famille
NVIDIA GeForce GTX 1060
Graveur DVD
Technologie Aura Sync et ses LED RGB

En Savoir +

Bouncer – Le gardien de vos permissions Android

par Korben

Si vous utilisez Android et que les permissions utilisées par vos applications sont une préoccupation pour vous, je vous invite à jeter un oeil à Bouncer.

Bouncer est un outil plutôt pratique puisqu’il est conçu pour donner des permissions à vos applications

Android

Detaxor – Pour ne plus tomber dans le piège des numéros de téléphone surtaxés

par Korben

Si vous êtes sous Android et que vous en avez assez de payer une blinde en appelant des numéros surtaxés, je vous propose d’installer Detaxor. Cette application mobile gratuite détecte lorsque vous composez un numéro surtaxé et vous propose des numéros alternatifs au tarif normal.

Voici comment ça fonctionne…

Android

ControlPC – Contrôler Netflix, VLC, Youtube, Windows Media Player à distance depuis votre smartphone

par Korben

Si vous regardez des films directement depuis votre ordinateur, bien calé au fond de votre canapé ou de votre lit, quoi de plus désagréable que de devoir vous relever pour mettre en pause ou monter le son ? Il existe bien sûr les claviers et souris sans fil mais c’est encombrant et pas toujours très joli quand ça traine dans le salon. Et les plus organisés auront investi dans une télécommande pour PC.