7 feb. 2019

Nueva vulnerabilidad 0-Day en macOS permite el robo de contraseñas de usuario

La explotación keysteal (robo de llave) permite robar contraseñas del usuario almacenadas en el llavero (keychain) de macOS.

Un investigador alemán ha publicado el fin de semana un video mostrando un nuevo ataque de día cero que afecta al sistema operativo de escritorio macOS de Apple.

En una entrevista al sitio de tecnología alemán Heise, Linus Henze, el investigador de seguridad, dice que la vulnerabilidad permite que una app maliciosa corriendo en un sistema macOS tenga acceso a las contraseñas almacenadas dentro del llavero (Keychain), el sistema de administración de contraseñas incluido en todas las distribuciones de macOS.

La explotación es altamente eficiente debido a que la app maliciosa no requiere privilegios de administrador para recuperar las contraseñas del archivo Keychain del usuario, y puede incluso recuperar el contenido de otros archivos Keychain, que almacenan contraseñas de otros usuarios en macOS.

Henze no ha publicado ningún código de Prueba de Concepto (PoC) para sostener su hallazgo, excepto por un video en YouTube, pero un muy respetado investigador de seguridad Apple confirmó hoy en un artículo en Forbes que la explotación existe y funciona como se describe en la entrevista en el sitio alemán de noticias.
Henze no reportó la vulnerabilidad a Apple antes de hacer público este video. Citó la falta de un programa de recompensas de la compañía para macOS como la razón principal. Apple tiene programas de recompensas para otros productos pero no para macOS.

Hablando con ZDNet, Henze dijo que el equipo de seguridad de Apple lo había contactado ayer después que su investigación empezó a recibir atención de los medios.

El equipo de seguridad de Apple le pidió más detalles, pero él rehusó a menos que ellos inicien también un programa de recompensas para macOS, y recompensen a los investigadores de seguridad por las fallas que encuentran en macOS.

"Aún si parece que estoy haciendo esto solo por dinero, esa no es para nada mi motivación principal en este caso", le dijo Henze hoy a ZDNet. "Mi motivación es conseguir que Apple cree un programa de recompensas. Pienso que esto es lo mejor para Apple y los investigadores".

"Realmente me encantan los productos Apple, y quiero hacerlos más seguros. Y la mejor forma de hacerlos más seguros sería, en mi opinión, si Apple creara un programa de recompensas por fallos (como ya tienen las otras compañías)", dijo el investigador.

Un portavoz de Apple no respondió a los pedidos de comentarios de ZDNet antes de la publicación de este artículo.

El día cero de Henze -a la cual él se refiere como KeySteal- es de alguna forma similar a otro día cero de macOS denominado KeychainStealer, descubierto por Patrick Wardle en septiembre de 2017. Coincidentemente Wardle es el experto en seguridad Apple independiente que confirmó el día cero de Henze a Forbes hoy más temprano.

Traducción: Raúl Batista de la redacción de Segu-Info
Autor: Catalin Cimpanu
Fuente: Zero Day - ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!