Advertido por el sitio Heise Online, una nueva vulnerabilidad «abre una puerta» para robar todas las contraseñas en el llavero de «inicio de sesión» y «Sistema» de una Mac, lo que lo deja abierto al ataque, incluso si hay medidas de seguridad como las Listas de control de acceso y la Protección de integridad del sistema. utilizando el último chip de seguridad T2 de Apple.
El explotador de KeySteal fue descubierto y anunciado por el investigador de seguridad Linus Henze, especializado en macOS y fanático de iOS autodeclarado que tiene un registro de haber descubierto otras vulnerabilidades en el pasado.
La única forma de proteger el llavero de su computadora es bloquear el llavero de inicio de sesión con una contraseña adicional, lo que hará que MacOS le solicite esa contraseña cada vez que intente hacer casi cualquier cosa con su computadora.
Afortunadamente, el llavero de iCloud no se ve afectado y aún no hay noticias sobre Apple que reconozca este problema.
Esta es la segunda brecha importante en la seguridad de macOS Keychain, que ya sufrió otra grave vulnerabilidad en septiembre de 2017. Apple cerró esa apertura, pero esta no se ha realizado aún, y puede que no haya sido reparada durante bastante tiempo.
Henze está protestando por la falta de seguridad de Apple para macOS y si bien Apple ofrece recompensas a las personas que encuentran vulnerabilidades de piratería en iOS, no ofrece el mismo programa para las computadoras macOS.
Henze piensa que esto es estúpido e injusto, por no mencionar el indicio de la falta de compromiso serio de Apple con la seguridad del sistema operativo de su computadora, y por lo tanto, decidió no compartir el procedimiento de error, llamando a otros a hacer lo mismo.
El establecimiento de programas de recompensas de agujeros de seguridad es una práctica habitual en la industria porque promueve una mayor seguridad, y le da a muchas personas inteligentes una razón para invertir su tiempo en la búsqueda de problemas. Incluso el Tesla de Elon Musk tiene un programa para aumentar la seguridad de sus autos eléctricos conectados a Internet.
0
0
44
