El investigador de seguridad alemán Linus Henze descubrió esta semana una nueva vulnerabilidad de macOS de día cero denominada 'KeySteal', que, como se muestra en el video a continuación, se puede usar para acceder a todos los datos confidenciales almacenados en la aplicación Keychain.
Henze parece usar una aplicación maliciosa para extraer datos de la aplicación Keychain de Mac sin la necesidad de acceso de administrador o una contraseña de administrador. Puede obtener contraseñas y otra información de Keychain, así como contraseñas y detalles de otros usuarios de macOS.
cómo copiar y pegar en macbook air
Henze no ha compartido los detalles de este exploit con Apple y dice que no lo lanzará porque Apple no tiene un programa de recompensa por errores disponible para macOS. 'Así que échales la culpa', escribe Henze en la descripción del video. En una declaración a Forbes Henze aclaró su posición y dijo que descubrir vulnerabilidades lleva tiempo.
'Encontrar vulnerabilidades como esta lleva tiempo, y creo que pagar a los investigadores es lo correcto porque estamos ayudando a Apple a hacer que su producto sea más seguro'.
Apple tiene un programa de recompensas para iOS que proporciona dinero a quienes descubren errores, pero no existe un sistema de pago similar para errores de macOS.
Según el sitio alemán Heise en línea , que habló con Henze, el exploit permite el acceso a los elementos de Mac Keychain pero no a la información almacenada en iCloud. También se requiere que el llavero esté desbloqueado, algo que sucede de manera predeterminada cuando un usuario inicia sesión en su cuenta en una Mac.
Keychain se puede bloquear abriendo la aplicación Keychain, pero luego se debe ingresar una contraseña de administrador cada vez que una aplicación necesita acceder a Keychain, lo que puede ser un inconveniente.
El equipo de seguridad de Apple se ha comunicado con Henze, según ZDNet , pero ha continuado negándose a proporcionar detalles adicionales a menos que proporcionen un programa de recompensa por errores para macOS. 'Incluso si parece que estoy haciendo esto solo por dinero, esta no es mi motivación en absoluto en este caso', dijo Henze. “Mi motivación es lograr que Apple cree un programa de recompensas por errores. Creo que esto es lo mejor tanto para Apple como para los investigadores '.
Esta no es la primera vulnerabilidad relacionada con llaveros descubierta en macOS. El investigador de seguridad Patrick Wardle demostró una vulnerabilidad similar en 2017, que ha sido parcheada.
Entradas Populares