Tabbladen zoeken in Safari op een MacBook.

Onderzoeker: ‘Elke Mac-app kan je scherm uitlezen, zonder dat je het weet’

Volgens onderzoeker Felix Krause kan elke Mac-app het scherm uitlezen en de tekst daarvan achterhalen. Krause heeft de kwetsbaarheid gemeld bij Apple, maar die heeft nog niet gereageerd.

Beveiligingsonderzoeker Felix Krause heeft een kwetsbaarheid in macOS ontdekt, waarmee kwaadwillenden screenshots van je scherm kunnen maken. Daarna kunnen ze met tekstherkenning (OCR) de tekst op het scherm achterhalen. Krause was eerder in het nieuws toen hij ontdekte dat iOS-apps heel gemakkelijk je wachtwoord kunnen stelen door een pop-up te tonen. Omdat Apple op willekeurige momenten soortgelijke pop-ups voor iCloud en de App Store gebruikt, trappen mensen er al snel in. Bij deze nieuwe ontdekking gaat het om de functie CGWindowListCreateImage, die kan worden misbruikt door elke Mac-app, ongeacht of er sprake is van een sandbox.

In een blogposting legt Krause uit hoe het werkt. Apps kunnen screenshots van het Mac-scherm maken, zonder dat de gebruiker er vanaf weet. Dit kan ook als de app op de achtergrond draait. Een kwaadwillende zou op afstand toegang kunnen krijgen tot de informatie op alle aangesloten beeldschermen, inclusief het lezen van wachtwoorden en de inlogcodes voor wachtwoordmanagers. E-mailberichten en ander persoonlijke informatie zijn ook te lezen.

Felix Krause: Mac-apps kunnen scherm van Mac uitlezen

Apple is op de hoogte van de kwetsbaarheid, maar heeft nog geen reactie gegeven. Op korte termijn wordt er een patch verwacht. Krause heeft een drietal manieren bedacht hoe de bug opgelost kan worden. Zo zou Apple strengere selectie in de Mac App Store kunnen toepassen of een melding tonen als een app probeert om de inhoud van het scherm te lezen. Volgens Krause is er “op dit moment geen mogelijkheid om jezelf te beschermen”.

Elke Mac-ontwikkelaar kan momenteel CGWindowListCreateImage gebruiken om een afbeelding te maken van je complete scherm. Installeer daarom alleen apps van ontwikkelaars die je vertrouwt.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 12 februari 2018, 15:30
Bron Bron Felix Krause
Categorie Mac & macOS
Onderwerpen beveiliging, macos

Reacties zijn gesloten voor dit artikel.