Un usuario experto en ciberseguridad demostró que una vulnerabilidad que ha descubierto en la aplicación de gestión de contraseñas KeyChain de macOS, que expondría cualquier contraseña allí registrada.
Se trata del usuario de Twitter Linus Henze, que el pasado febrero informaba en la red social que había descubierto un error en el llavero de contraseñas KeyChain para dispositivos Mac que permitía mostrar las contraseñas de registradas en esta aplicación e incluso creó una app para demostrarlo, llamada 'KeySteal'.
Según Apple Insider, la vulnerabilidad de Keychain permite obtener las contraseñas a través de un 'exploit' basado en un ataque 'día cero' que, hasta el momento, no existe constancia de que se haya utilizado para atacar a usuarios. Las contraseñas se extraen en texto natural, sin encriptar.
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
— Linus Henze (@LinusHenze) 3 de febrero de 2019
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple
El experto se lo comunicó a Apple a través de un correo electrónico, pero, antes de dar a la compañía todos los detalles del fallo, pidió a la marca que le explicase por qué no tenía un programa de compensación para desarrolladores "como hacen otras grandes firmas" o incluso Apple para las app de iOS. A cambio de una declaración con dicha explicación, este enviaría "toda la información junto con un parche de forma gratuita que les permitiría cerrar la vulnerabilidad de manera inmediata".
Apple aún no ha respondido a estas exigencias.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios