Avsnittet: 133 – MAC-attack med David Jacoby
Inspelat: 2021-09-08 (publicerat 2021-09-12)
Deltagare:  Erik Zalitis, David Jacoby
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

GTCC hölls den 8 september 2021 på hotell Birger Jarl i central Stockholm. Jag åkte dit och mötte några av talarna och det avsnittet kommer ni få höra inom några veckor. Men David hade så mycket att säga att det blev ett helt eget avsnitt om någon han undersökt: hur är det egentligen med MAC-datorer och deras säkerhet? Vi har talat om MAC och säkerhet förut, men denna gång handlar det om det något tunna skydd som finns för en användare även om hackaren inte kan ta över datorn och utföra en MAC-attack.

Windows har en skyddad area för användaren lösenord, medan Linux och MAC har en ”Keychain”. Denna öppnar användaren med sitt lösenord. MAC har dock inte skyddad denna Keychain, vilket ger hackaren en unik väg till att göra en ”MAC-attack”.

1. Hackaren lurar användaren att klicka på en länk till skadlig kod.
2. Den skadliga koden ansluter till hackaren och ger denna kontroll över användarens session.
3. Hackaren laddar hem hela den krypterade Keychain-filen och annan värdefull data.
4. Nu kan hackaren knäcka den offline och få tillgång till användaren lösenord och användarkontots lösenordshash.

Lokal phishing?

19:32 berättar David att OASScript i MAC kan användas för att skapa väldigt trovärdiga dialogrutor och lura användaren att systemet har något att säga. Ännu en MAC-attack, alltså.

Länkar – MAC-attack

• ”Demystifying the MacOS Attack Chain” – David talar om attacken på SEC-T 2021.
• Våra tidigare avsnitt med David Jacoby.
• Alla våra avsnitt om MAC-säkerhet.

Felaktigheter – MAC-attack

• Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.