contador gratis Saltar al contenido

Defecto en macOS Mojave da acceso a las contraseñas almacenadas en Keychain Access

septiembre 17, 2020

Linuz Henze, investigadora especializada en seguridad informática ha identificado una falla en macOS Mojave, también presente en la última versión 10.14.3. En un video publicado en YouTube, video que informamos en este artículo, el investigador demuestra la posibilidad de acceder a las distintas contraseñas guardadas en Keychain Access ejecutando una utilidad ad hoc.

El experto no compartió los detalles de la vulnerabilidad con Apple, explicando que no lo hizo porque la multinacional de Cupertino no otorga recompensas u ofertas: según él, Apple brinda un programa llamado bug bounty que premia a quienes identifican vulnerabilidades de este tipo pero solo recompensa. las relativas a iOS.

Usando su propia utilidad que el investigador ha llamado KeySteal, Henze destaca la posibilidad de identificar nombres de usuario y contraseñas almacenadas en Keychain Access, la utilidad estándar con macOS que te permite almacenar contraseñas e ingresarlas automáticamente cuando sea necesario, pero también buscarlas fácilmente cuando sea necesario .

Una falla en macOS Mojave le permite leer las contraseñas almacenadas en Keychain AccessEl investigador explica que no importa si la lista de control de acceso (ACL) está activa o no, es decir si para la clave (la combinación de usuario y contraseña) está activa la opción en el panel ” Control de acceso ?en la ventana? Obtener información ?que le permite determinar si necesitamos una contraseña para usar un elemento.

Henze dice que su sistema permite el acceso a las contraseñas de inicio de sesión y del sistema; No se puede acceder a las contraseñas del llavero de iCloud (el llavero que mantiene actualizadas las contraseñas y otra información segura en todos los dispositivos) ya que se almacenan con un mecanismo diferente.

Henze dice que no tiene planes de revelar detalles sobre la vulnerabilidad por el momento, ya que no le gusta la política de Apple de no recompensar a quienes detectan estos errores. Pide a otros investigadores que presionen a Cupertino para que cambie la situación. No está claro si Apple es consciente del problema o no.

En cualquier caso, es posible bloquear el acceso a herramientas como la herramienta mostrada por el desarrollador bloqueando Keychain con una contraseña adicional (simplemente seleccione con el botón derecho del mouse / trackpad el elemento que aparece en la parte superior izquierda en la lista de Keychains y elija “Llavero de bloqueo”).