lunes, 2 de octubre de 2017

El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad

El fallo en cuestión permite a cualquier aplicación robar las contraseñas del 'keychain' sin conocimiento del usuario.



El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.


'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.

En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.

Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.

Tweet de 'Patrick Wardle' mostrando las evidencias de la vulnerabilidad
 
El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.
Tweet recomendando el uso de 'Gatekeeper'

'Wardle' además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.




Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.




Más información:

Perfil de Twitter de 'Patrick Wardle':