Un adolescente descubre un bug en el llavero de MacOS que permite obtener todas las contraseñas asociadas a un AppleID
por Jordi Bercial 1Apple parece tener pocos descansos en cuanto a seguridad, pues si bien la semana pasada se encontraba un bug que permitía obtener audio y video de la persona al otro lado de una llamada de FaceTime sin que dicha persona aceptase la llamada, aún sin solución, ahora es MacOS el que sufre de un bug grave de seguridad que permite que un atacante sin permisos de sistema extraiga toda la información del almacén de contraseñas de MacOS.
Este adolescente de 18 años llamado Linus Henze, ha encontrado esta vulnerabilidad de la que por ahora no existe una solución en camino, y que es capaz de acceder a los datos del “llavero” de MacOS Mojave sin requerir de ningún tipo de permisos o contraseña. Linus además expresa que el código que permite acceder a dichos datos se puede integrar en una aplicación cualquiera o incluso en una página web, por lo que el nivel de acceso que se requiere es absolutamente mínimo.
Por otro lado, este investigador se niega a proporcionar los datos técnicos de este bug a Apple debido al poco interés que Apple, según él, le dedica a proporcionar una seguridad robusta al sistema operativo, además de que el programa Bug Bounty, por el cual se paga a los investigadores de seguridad por encontrar bugs como éste, sólo está disponible en iOS. Según sus palabras, encontrar este tipo de vulnerabilidades cuesta tiempo, y cree que pagar a los investigadores es lo más justo.
Si bien no existe una solución en camino, tendremos que andar con cuidado, sobretodo en páginas web o aplicaciones sospechosas, pues existe el potencial peligro de incluso perder nuestro AppleID en manos de un hacker.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!