Menú principal

jueves, 18 de junio de 2015

0day en OS X (e iOS) de "Unauthorized Cross-App Resource Access" permite que te roben las passwords

Se ha liberado un 0day, el cual ha sido encontrado por investigadores de varias universidades, que permite a un atacante acceder al keychain de OS X 10.10.3 y saltar las medidas de seguridad que implementa el sistema. El acceso al llavero es crítico, ya que aquí se almacenan los datos sensibles y contraseñas de todas las aplicaciones y sitios web que un usuario utiliza en el día a día. Los investigadores consiguieron publicar aplicaciones en la Mac App Store bypasseando los sistemas de seguridad de la Mac App Store, ya que Apple no se dio cuenta de este hecho.

Por lo que se han conseguido dos hitos por partes de los investigadores, bypassear la App Store subiendo apps maliciosas y, posteriormente, acceder al keychain del sistema y llevarse las claves. Los investigadores avisaron a Apple del fallo y publicaron este paper.

Figura 1: Paper de publicación del bug

Apple pidió a los investigadores que esperasen 6 meses cuando se pusieron en contacto para reportar el fallo, y después podrían publicar los detalles de la vulnerabilidad, aunque según indican no han recibido ningún mensaje desde Apple.  La compañía aún no ha reconocido el problema, aunque seguramente lo haga pronto, y lanzará una actualización de seguridad de OS X aplicando un parche que solucione la vulnerabilidad. El detalle de la vulnerabilidad puede encontrarse en el paper publicado por los investigadores.

Figura 2: Detección de XARA

El documento tiene cuatro puntos importantes para su lectura. El primero de ellos habla sobre el robo de contraseñas. El segundo explica las grietas que pueden encontrarse en los contenedores entre las aplicaciones, dónde una aplicación puede recuperar el contenido del almacén de datos aparentemente privado. El tercero habla de la intercepción que se lleva a cabo, lo que permite a una aplicación maliciosa secuestrar el flujo de tráfico. El cuarto habla de cómo lanzar una aplicación, OS X, para capturar los tokens de acceso u otra información. Los investigadores descubrieron que podían determinar los parámetros utilizados por cualquier aplicación en el llavero. Existe un video en el que se puede ver la prueba de concepto del robo de contraseñas.


Figura 3: Robo de contraseñas con apps maliciosas

La actualización de seguridad se espera que aparezca en un corto período de tiempo, pero tras visto lo sucedido con LastPass, y tras ver estos casos os volvemos a insistir en la necesidad de poner un Segundo Factor de Autenticación en todas vuestras cuentas. Como sabéis podéis configura Latch en OS X y en muchas otras identidades puedes poner Latch.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares