El fallo en cuestión permite a cualquier aplicación robar las contraseñas del ‘keychain’ sin conocimiento del usuario.
El descubridor de esta brecha de seguridad ha sido el experto informático ‘Patrick Wardle’, el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.
‘Patrick’ trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma ‘Synack’.
En su Twitter explica que cualquier aplicación instalada en el sistema puede acceder al llavero haciendo un ‘bypass’ sobre cualquier componente de seguridad que tenga nuestro equipo.
Normalmente ninguna aplicación puede acceder al contenido del ‘keychain‘ sin que el usuario introduzca la contraseña principal.
Tweet de ‘Patrick Wardle’ mostrando las evidencias de la vulnerabilidad |
El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de ‘Gatekeeper’ para mantener un mayor control de estas aplicaciones que instalamos.
Tweet recomendando el uso de ‘Gatekeeper’ |
Análisis de la vulnerabilidad por MalwareBytes:
https://blog.malwarebytes.com/cybercrime/2017/09/keychain-vulnerability-in-macos/
Dejar un comentario