El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad
El fallo en cuestión permite a cualquier aplicación robar las contraseñas del 'keychain' sin conocimiento del usuario.
El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.
'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.
En su Twitter explica que cualquier aplicación instalada en el sistema puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.
Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.
El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.
Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.
El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.
'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.
En su Twitter explica que cualquier aplicación instalada en el sistema puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.
Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.
 |
| Tweet de 'Patrick Wardle' mostrando las evidencias de la vulnerabilidad |
El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.
 |
| Tweet recomendando el uso de 'Gatekeeper' |
'Wardle' además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.
Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.
Más información:
Perfil de Twitter de 'Patrick Wardle':
https://twitter.com/patrickwardle?lang=es
Análisis de la vulnerabilidad por MalwareBytes:
https://blog.malwarebytes.com/cybercrime/2017/09/keychain-vulnerability-in-macos/
Análisis de la vulnerabilidad por MalwareBytes:
https://blog.malwarebytes.com/cybercrime/2017/09/keychain-vulnerability-in-macos/
Via: unaaldia.hispasec.com
El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad
Reviewed by Zion3R
on
4:35
Rating:
Reviewed by Zion3R
on
4:35
Rating:
