Un usuario ha informado a Apple de una vulnerabilidad encontrada en la aplicación de gestión de contraseñas KeyChain para el sistema operativo macOS, incluida de serie en el sistema, que expone todas las contraseñas registradas en dicha aplicación.
El pasado mes de febrero, el usuario de Twitter Linus Henze informaba a través de esta red social que había descubierto un error en el llavero de contraseñas KeyChain para dispositivos Mac que permitía mostrar las contraseñas de registradas en esta aplicación e, incluso, creó un programa para demostrarlo, llamado KeySteal.
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
— Linus Henze (@LinusHenze) February 3, 2019
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple
La vulnerabilidad de Keychain permite obtener las contraseñas a través de un exploit basado en un ataque "día cero" que, hasta el momento, no existe constancia de que se haya utilizado para robar contraseñas de usuarios, según Apple Insider. Las contraseñas se extraen en texto natural, sin cifrar.
Sin embargo, Henze pidió a la marca que le explicase por qué no tenía un programa de compensación para desarrolladores "al igual que hacen otras grandes firmas" o incluso la propia Apple para las apps de iOS. A cambio de una declaración con dicha explicación este enviaría "toda la información junto con un parche de forma gratuita que les permitiría cerrar la vulnerabilidad de manera inmediata".
Apple aún no se ha pronunciado ante las exigencias del desarrollador, que ha informado que el bug sigue presente en la última actualización de macOS.