MacOS tiene una nueva vulnerabilidad grave que esencialmente deja las contraseñas de su computadora abiertas para ser robadas por piratas informáticos. Su nombre: KeySteal.
Aquí puedes verlo en acción:
Informada por primera vez por la publicación de tecnología Heise Online, la vulnerabilidad abre una puerta para robar todas las contraseñas en el llavero de "inicio de sesión" y "Sistema" de su Mac, lo que lo deja completamente expuesto a ataques incluso si tiene medidas de seguridad como Listas de control de acceso y Protección de integridad del sistema. utilizando el último chip de seguridad T2 de Apple.
El exploit KeySteal fue descubierto y anunciado por el investigador de seguridad Linus Henze, un fanático de macOS e iOS autoproclamado que tiene un historial de descubrimiento de otras vulnerabilidades en el pasado. También es miembro de Sauercloud, un equipo de seguridad informática alemán que participa en las competiciones de piratería Capture The Flag. En otras palabras: su hazaña probablemente no sea inventada, pero sí muy real.
La única forma de proteger el llavero de su computadora es bloquear el llavero de inicio de sesión con una contraseña adicional, lo que hará que macOS le pida esa contraseña cada vez que intente hacer casi cualquier cosa con su computadora.
Afortunadamente, el llavero de iCloud no se ve afectado. Aún no hay noticias de que Apple reconozca este problema, pero nos hemos puesto en contacto con ellos y actualizamos este artículo con lo que digan.
Esta es la segunda gran brecha en la seguridad de macOS Keychain, que ya sufrió otra vulnerabilidad grave en septiembre de 2022-2023. Apple cerró esa apertura, pero esta aún no lo ha hecho, y es posible que no se haya reparado durante bastante tiempo.
La razón: Henze está protestando por la falta de recompensas de seguridad de Apple para macOS. Si bien Apple ofrece recompensas a las personas que encuentran vulnerabilidades de piratería en iOS, no ofrece el mismo programa para computadoras macOS. Henze piensa que esto es tonto e injusto, por no mencionar que indica la falta de compromiso serio de Apple con la seguridad del sistema operativo de su computadora, y por lo tanto ha decidido no compartir el procedimiento de error y ha pedido a otros que hagan lo mismo.
El establecimiento de programas de recompensas por agujeros de seguridad es una práctica habitual en la industria informática porque promueve una mayor seguridad, lo que brinda a muchas personas inteligentes una razón para invertir su tiempo en encontrar problemas. Incluso el Tesla de Elon Musk cuenta con un programa de este tipo para aumentar la seguridad de sus coches eléctricos conectados a Internet.
Esta publicación apareció originalmente en Tom's Guide.
- Error de espionaje de FaceTime de Apple: lo que necesita saber
- Mejor administrador de contraseñas: Lastpass frente a Dashlane frente a 1Password
- ¿Debería utilizar un administrador de contraseñas?