Menú

0-day en macOS permite el robo de contraseñas de usuario.

La semana pasada surgió que un niño de 14 años descubrió un error que permitía husmear en usuarios de iPhone y Mac gracias a un problema en FaceTime.

Sin embargo, otro adolescente ha descubierto una seria debilidad en la tecnología de Apple.

Linus Henze, de 18 años, alemán, ha descubierto una vulnerabilidad que afecta a la última MacOS de Apple que deja las contraseñas almacenadas abiertas a aplicaciones maliciosas.

Esto podría incluir inicios de sesión para el sitio web de su banco, Amazon, Netflix, Slack y muchas más aplicaciones. Y aunque se trata de un error solo para Mac, si está utilizando el llavero de iCloud, las contraseñas sincronizadas a través de iPhones y Mac también pueden estar en peligro.

Henze descubrió que podía crear una aplicación que pudiera leer lo que había en el llavero sin requerir el permiso explícito de la víctima. Su simulacro de malware no requería privilegios especiales, como permisos a nivel de administrador. “Ejecutar una aplicación simple es todo lo que se requiere”, dijo Henze.

Apple ha prometido una solución y, según se informa, otorgará el pago de hace 14 años a través de su programa de recompensas de errores de iOS. Ofrece hasta $ 200,000 a cambio de información sobre deficiencias de seguridad en su sistema operativo móvil.

Pero la iniciativa de recompensas de errores de Apple es solo para invitaciones y para iOS. “Es como si realmente no les importaran los macOS”, dijo Henze. “Encontrar vulnerabilidades como esta lleva tiempo, y creo que pagarle a los investigadores es lo correcto porque estamos ayudando a Apple a hacer que su producto sea más seguro”.

En lugar de informar a Apple directamente, Henze ahora le está diciendo al mundo, publicando un video de YouTube a principios de esta semana.

Una solución rápida

Apple dijo que no tenía comentarios al momento de la publicación.Como no tiene información técnica de Henze, no está claro cuándo estará disponible una solución. El último macOS Mojave es 10.14.3.

Pero se podrían tomar medidas para evitar que las aplicaciones roben sus contraseñas.

Quizás la mejor defensa actual es establecer manualmente una contraseña para el llavero. Pero eso significará que cada vez que una aplicación legítima quiere usar una contraseña del llavero, el usuario tendrá que ingresar al inicio de sesión.

Fuente: Forbes