Apple está pasando una mala racha actualmente con los problemas de privacidad en sus sistemas operativos. Hace unos días saltaban las alarmas por el bug en las llamadas grupales de FaceTime que permite espiar a cualquiera sin que se diera cuenta. Ahora un investigador de seguridad ha detectado un exploit que permite acceder a las contraseñas del llavero de iCloud saltándose las diferentes barreras de seguridad que existen en macOS Mojave.
Este experto en seguridad es Linuz Henze que ya es bastante conocido por publicar diferentes vulnerabilidades en iOS y macOS, por lo que tiene un extenso historial de credibilidad a sus espaldas.
Obtener las contraseñas del llavero en macOS Mojave se vuelve realmente fácil
Como veis en el siguiente video, este experto se encuentra en macOS Mojave. Accede a su llavero y obviamente si quiere consultar alguna de las contraseñas almacenadas debe de introducir la password del Mac, pero no siempre. Simplemente ejecutando un programa llamado «KeySteal» tienes a tu disposición una lista con todos los datos de inicio de sesión en los diferentes sitios almacenados en el llavero como nombres de usuario y contraseñas en cuestión de segundos.
Si por alguna razón dejas un momento tu Mac encendido y desbloqueado no cualquiera puede acceder a tu información en ese descuido del llavero de iCloud al existir esta seguridad de autenticación, pero con este programa se puede explotar este exploit y tener toda la información confidencial de un usuario rápidamente.
Para dar una lección a Apple este experto en seguridad no va a compartir la información de esta vulnerabilidad con la compañía de Cupertino para que sea resuelta. Esta decisión la toma básicamente por su disconformidad con que el programa de recompensas de errores de Apple que está limitado a iOS no entrando los fallos de macOS.
Es decir, si un experto informa de un fallo en iOS Apple le recompensa por este dependiendo de la gravedad pero si lo hace en macOS no se recibe ningún tipo de recompensa. Para poder hacer presión a la compañía este experto ha decidido no compartir esta información con la compañía de gratis.
Los usuarios podemos defendernos de este fallo poniendo una contraseña adicional a nuestro llavero, algo que no viene de manera predeterminada pero es poco recomendable por la cantidad de diálogos de autenticación que se terminan generando. Veremos si afecta también a la hora de crear contraseñas en archivos de Mac.
De momento no sabemos si Apple está al tanto de este problema y si ya están trabajando en una solución. Lo que si esperamos es que esta medida de presión sirva para que Apple amplíe su plan de pago a macOS. Para esto Henze a pedido el resto de sus colegas que publiquen públicamente los problemas de seguridad en Mac pero que no lo comuniquen a la compañía. Además este problema puede hacer que el Mac se quede bloqueado sin razón.
Déjanos en la caja de comentarios qué opinas de este nuevo exploit detectado en macOS.