Menú principal

jueves, 28 de septiembre de 2017

Vulnerabilidad crítica en macOS High Sierra: Cualquiera puede acceder a tu Keychain

El nuevo sistema operativo de Apple, el flamante macOS High Sierra, ya tiene una grave vulnerabilidad que permite a un atacante robar las contraseñas del keychain del sistema. El nuevo sistema trae algunas mejoras de seguridad, por ejemplo el SKEL, del cual hablamos en el blog, pero también ha traido un nuevo y grave fallo de seguridad que permite a cualquier aplicación robar las contraseñas del keychain sin el conocimiento o interacción del usuario. Las versiones anteriores al nuevo sistema operativo de Apple también son vulnerables, por lo que hay que actualizar, sin duda, a la nueva versión.

El investigador Patrick Wardle ha sido el que ha encontrado este grave fallo de seguridad. El experto en seguridad ha comunicado que no revelará el funcionamiento del fallo hasta que Apple lo corrija. Wardle indicó que las aplicaciones que se ejecutan en un sistema pueden acceder a toda la información del llavero sin ninguna interacción del usuario, haciendo un bypass de cualquier componente de seguridad. Apple indicó que Gatekeeper evita que se instalen aplicaciones sin firmar, y que el usuario no debe instalar aplicaciones que no tengan un origen de confianza o no se encuentren firmadas.

Figura 1: Mensaje de Patrick Wardle con la evidencia

Hasta que no exista una solución, se debe evitar la instalación de cualquier aplicación sin firmar y que venga de fuentes de no confianza, según ha comentada la propia Apple. Si tienes algún tipo de software instalado que cumpla con estas características, debes revisarlo y, en el peor de los casos, tener que cambiar las contraseñas almacenadas en el keychain, siempre que necesites eliminar la aplicación que no genera confianza.


Seguiremos atentos a la posible y necesaria actualización de macOS High Sierra a una nueva versión. Seguramente en poco tiempo veamos la actualización de macOS High Sierra y una nueva actualización de iOS solventando el problema de la batería. Sea como sea, seguiremos contándolo desde Seguridad Apple.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares