macOS tiene una nueva vulnerabilidad grave que esencialmente deja las contraseñas de tu computadora abiertas para que las roben los hackers. Su nombre: KeySteal.
Aquí puedes verlo en acción:
Reportado por primera vez por la publicación de tecnología Heise Online, la vulnerabilidad abre una puerta para robar todas las contraseñas en el llavero de «inicio de sesión» y «Sistema» de su Mac, lo que lo deja abierto a ataques incluso si tiene medidas de seguridad como Listas de Control de Acceso y Protección de la Integridad del sistema utilizando el último chip de seguridad T2 de Apple.
El exploit KeySteal fue descubierto y anunciado por el investigador de seguridad Linus Henze, un fan autodeclarado de macOS e iOS que tiene un historial de descubrir otras vulnerabilidades en el pasado. También es miembro de Sauercloud, un equipo de seguridad informática alemán que participa en las competiciones de hacking Capture The Flag. En otras palabras: su hazaña probablemente no es inventada, sino muy real.
La única manera de proteger el llavero de tu computadora es bloquear el llavero de inicio de sesión con una contraseña adicional, lo que hará que macOS te pida esa contraseña cada vez que intentes hacer casi cualquier cosa con tu computadora.
Afortunadamente, el llavero de iCloud no se ve afectado. Todavía no hay noticias de que Apple reconozca este problema, pero nos hemos puesto en contacto con ellos y actualizamos este artículo con lo que digan.
Esta es la segunda gran brecha en la seguridad de macOS Keychain, que ya sufrió otra vulnerabilidad grave en septiembre de 2017. Esa apertura fue cerrada por Apple, pero esta aún no lo ha hecho, y puede que no se haya parcheado durante bastante tiempo.
La razón: Henze protesta por la falta de recompensas de seguridad de Apple para macOS. Si bien Apple ofrece recompensas a las personas que encuentran vulnerabilidades de piratería en iOS, no ofrece el mismo programa para computadoras macOS. Henze piensa que esto es tonto e injusto, por no mencionar la falta de compromiso serio de Apple con la seguridad de su sistema operativo, y por lo tanto ha decidido no compartir el procedimiento de error, llamando a otros a hacer lo mismo.
Establecer programas de recompensas por agujeros de seguridad es una práctica habitual en la industria informática porque promueve una mayor seguridad, dando a muchas personas inteligentes una razón para invertir su tiempo en encontrar problemas. Incluso el Tesla de Elon Musk tiene un programa de este tipo para aumentar la seguridad de sus coches eléctricos conectados a Internet.
- Error espía de Apple FaceTime: Lo que necesita Saber
- El mejor Administrador de contraseñas: Lastpass vs. Dashlane vs. 1Password
- ¿Debería Usar un Administrador de contraseñas?
noticias Recientes