Los propietarios de un equipo Mac sin duda ya estarán instalado (o incluso habrán instalado) la última versión del sistema operativo de Apple, conocido por el apelativo High Sierra. Esta actualización incorpora novedades como el sistema archivos APFS y el motor gráfico Metal 2, pero también una grave vulnerabilidad zero day que permite robar las contraseñas almacenadas en el llavero de un Mac, un espacio teóricamente seguro donde se almacenan los nombres de usuario y las claves utilizadas en el ordenador.
Desvelada unas horas antes del mismo lanzamiento de High Sierra, esta vulnerabilidad ha sido revelada por Patrick Wardle, un exhacker de la NSA que ahora trabaja como jefe de seguridad de la firma de seguridad Synack. El fallo en cuestión permite a un atacante acceder al gestor de contraseñas de Apple y extraer todas las claves en un archivo de texto plano utilizando una aplicación sin firmar descargada desde Internet. La vulnerabilidad también afecta a versiones antiguas de macOS y OS X.
La aplicación de prueba de concepto desarrollada por Wardle recibe el nombre de keychainStealer y sirve para demostrar que es posible obtener claves, nombres de usuario y números de tarjetas de crédito cuando un usuario se ha introducido en el sistema. Este exploit podría ser utilizado en una aplicación aparentemente benigna para maximizar su difusión (algo que ya ha sucedido anteriormente).
De acuerdo con Wardle, que propone un programa de caza de bugs como posible solución a futuros problemas, Apple fue avisada a comienzos de mes para que solucionara la vulnerabilidad lo antes posible. No obstante, High Sierra ha sido lanzado sin parchear. Según señala Wardle:
La respuesta oficial de Apple a este zero day es que los usuarios no deberían descargar aplicaciones sin firmar. Según ha señalado un portavoz de la compañía a ZDNet, "alentamos a los usuarios a descargar software solo desde fuentes de confianza como la App Store de Mac, y a prestar atención a los diálogos de seguridad que muestra macOS". Por ahora se desconoce cuándo será parcheada la vulnerabilidad.
Desvelada unas horas antes del mismo lanzamiento de High Sierra, esta vulnerabilidad ha sido revelada por Patrick Wardle, un exhacker de la NSA que ahora trabaja como jefe de seguridad de la firma de seguridad Synack. El fallo en cuestión permite a un atacante acceder al gestor de contraseñas de Apple y extraer todas las claves en un archivo de texto plano utilizando una aplicación sin firmar descargada desde Internet. La vulnerabilidad también afecta a versiones antiguas de macOS y OS X.
La aplicación de prueba de concepto desarrollada por Wardle recibe el nombre de keychainStealer y sirve para demostrar que es posible obtener claves, nombres de usuario y números de tarjetas de crédito cuando un usuario se ha introducido en el sistema. Este exploit podría ser utilizado en una aplicación aparentemente benigna para maximizar su difusión (algo que ya ha sucedido anteriormente).
De acuerdo con Wardle, que propone un programa de caza de bugs como posible solución a futuros problemas, Apple fue avisada a comienzos de mes para que solucionara la vulnerabilidad lo antes posible. No obstante, High Sierra ha sido lanzado sin parchear. Según señala Wardle:
Como usuario apasionado de un Mac, estoy continuamente decepcionado por la seguridad de macOS. No quiero que nadie de Apple se lo tome personalmente, pero cada vez que miro a macOS como no se supone que debería, algo se cae. Siento que los usuarios deberían ser conscientes de los riesgos que hay ahí fuera. Estoy seguro de que atacantes más sofisticados tienen capacidades similares.
El marketing de Apple ha hecho un gran trabajo convenciendo a la gente de que macOS es seguro, y creo que es bastante irresponsable y que conduce a problemas, con los usuarios de Mac sintiéndose más seguros de la cuenta y por lo tanto haciéndose más vulnerables.
La respuesta oficial de Apple a este zero day es que los usuarios no deberían descargar aplicaciones sin firmar. Según ha señalado un portavoz de la compañía a ZDNet, "alentamos a los usuarios a descargar software solo desde fuentes de confianza como la App Store de Mac, y a prestar atención a los diálogos de seguridad que muestra macOS". Por ahora se desconoce cuándo será parcheada la vulnerabilidad.
Si han tenido un mes desde el aviso y después de varias builds no han corregido el fallo, o bien los ingenieros de apple son unos chapuzas, o el fallo es más difícil de corregir de lo que parece, y ninguna de las posibilidades es buena [noop]
Salu2
Y las vulnerabilidades que no se dicen...
Pero si ni sabes de lo que hablas! [fiu]
El fallo es vergonzoso y la respuesta poco afortunada, pero sí que es cierto que no se deberían instalar aplicaciones sin firmar en OSX a menos que se esté completamente seguro de donde vienen, como pasa por ejemplo con Kodi y muchas otras, ya que sin vulnerabilidad, una aplicación sin firmar no puede acceder a los pass cifrados, pero sí que podría ser perfectamente un keylogger, por lo que el problema sería el mismo. Y esto es válido también para Windows o Linux.
Primer comentario del hilo, primer comentario hater y primera metedura de pata de la mañana. Asegúrate de los que escribes antes de hablar anda.
Que tiene que ver iOS en esta noticia?
(imagen)