Una amenaza de seguridad de Mac particularmente insidiosa se reveló justo cuando se lanzó macOS High Sierra el lunes, lo que provocó advertencias para evitar el nuevo sistema operativo de Apple. La falla de seguridad, llamada keychainStealer, podría exponer sus contraseñas de llavero, pero no se limita a High Sierra y no es una razón para no actualizar.
El investigador de seguridad de Synack, Patrick Wardle, demostró la falla mostrando cómo un atacante potencial podría obtener acceso a sus contraseñas almacenadas. Su demostración involucró la instalación de una aplicación sin firmar en una Mac que volca el contenido de su base de datos de llaveros en un archivo de texto sin formato.
en High Sierra (sin firmar) las aplicaciones pueden volcar y exfilar el llavero mediante programación (con sus contraseñas de texto sin formato) 🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— Patrick Wardle (@patrickwardle) 25 de septiembre de 2017
wardle dijo Forbes,
Sin privilegios de root, si el usuario ha iniciado sesión, puedo volcar y filtrar el llavero, incluidas las contraseñas de texto sin formato. Normalmente, no se supone que puedas hacer eso mediante programación.
Gizmodo informa que Wardle alertó a Apple sobre la amenaza el 7 de septiembre, y es probable que ya se esté trabajando en un parche.
Si bien la amenaza es real, no es probable que la mayoría de los usuarios de Mac la encuentren. Primero, no es una amenaza que está en la naturaleza, al menos no todavía. En segundo lugar, requiere que los usuarios instalen una aplicación que debería activar una alerta de GateKeeper porque no está firmada con un certificado de desarrollador válido.
Apple abordó eso en una declaración a Macworld diciendo,
macOS está diseñado para ser seguro de forma predeterminada, y Gatekeeper advierte a los usuarios que no instalen aplicaciones sin firmar, como la que se muestra en esta prueba de concepto, y evita que inicien la aplicación sin una aprobación explícita. Recomendamos a los usuarios que descarguen software solo de fuentes confiables como Mac App Store y que presten especial atención a los cuadros de diálogo de seguridad que presenta macOS.
Finalmente, keychainStealer asume que el usuario ha iniciado sesión en su Mac y está usando la misma contraseña para su cuenta de usuario y base de datos de llaveros. Si su contraseña de llavero es diferente de su contraseña de inicio de sesión de Mac, el truco no funciona.
Si no está actualizando a macOS High Sierra específicamente debido a keychainStealer, no está haciendo nada para protegerse porque la misma amenaza también existe en versiones anteriores de macOS. Además, macOS High Sierra tiene otras mejoras de seguridad que obtendrá hasta que actualice.
La verdadera razón para esperar para instalar macOS High Sierra es que las aplicaciones críticas que necesita para hacer su trabajo aún no son compatibles, o está en medio de un cliente o proyecto de trabajo.
