Un exploit de día cero (0-day) en macOS Mojave permite acceder a las contraseñas que se encuentran almacenadas en Keychain. Lo anterior ha sido confirmado por Linus Henze, un experto en ciberseguridad, quien compartió un video en YouTube que muestra lo sencillo que es hacerse de los datos privados sin necesidad de tener privilegios de administrador.

Por medio de KeySteal, una aplicación creada para aprovechar esta vulnerabilidad, Linus fue capaz de acceder a las contraseñas del Keychain en macOS Mojave 10.14.3. De acuerdo con el sitio Heise Online, el fallo afecta solamente en modo local (login y System) y no a la información que se encuentra almacenada en iCloud.

El único modo para protegerse sería habilitar una contraseña en el Keychain o cerrar sesión en el mismo después de un tiempo determinado de inactividad. Hense no recomienda utilizar estas opciones, ya que el usuario tendrá que lidiar con las pantallas emergentes que aparecerán cada que ejecutemos una aplicación.

La solución real es que Apple lance una actualización de sistema. El analista dijo que no tiene intenciones de compartir la información del exploit con la empresa de Cupertino, ya que no existe un programa de recompensa por encontrar fallos de seguridad en macOS.

Encontrar vulnerabilidades como esta lleva tiempo, y creo que pagarle a los investigadores es lo correcto porque estamos ayudando a Apple a hacer que su producto sea más seguro.

Linus ha advertido el problema que podría ocasionar a los usuarios si alguien se aprovecha de la vulnerabilidad. En entrevista con Forbes, el experto apuntó que el atacante podría integrar este exploit en una aplicación legítima o incluso ejecutar el código malicioso desde una página web.

De momento Apple solo ofrece una suma de hasta $200.000 dólares a aquellos que descubran fallos de seguridad en iOS, como el de FaceTime que fue reportado inicialmente por la madre de un adolescente y que Apple ya se encuentra resolviendo.

//Fuente: Hipertextual