26 septiembre 2017 macOS, Seguridad, Vídeos

fallo llavero macOS

No lleva ni un día entre nosotros y ya se ha descubierto un fallo de seguridad importante en macOS High Sierra. Y decimos que es importante porque se trata de una brecha en el sistema por el que las apps de terceros pueden acceder a las contraseñas almacenadas en el Acceso a Llaveros de nuestro Mac sin saber nuestra contraseña principal.

Un fallo que se hace aún más grave si tenemos en cuenta que Apple publicita que los datos que guardamos en Acceso a Llaveros está protegida por una codificación de 256-bit AES, tan segura que debería ser invulnerable a accesos no autorizados. Y ya hemos visto que no es así…

Patrick Wardle, un especialista en seguridad tecnológica y antiguo analista de la NSA, ha sido quien ha descubierto esta vulnerabilidad en High Sierra y en todas las versiones de macOS, creando una app que demuestra cómo cualquier app es capaz de acceder a nuestro Llavero y extraer todas nuestras contraseñas en texto plano y sin nuestro permiso específico, tal y como podéis ver en el siguiente vídeo.

En condiciones normales, solo una app autorizada debería ser capaz de acceder a su contraseña correspondiente, pero el fallo descubierto facilita que cualquiera (por ejemplo la creada por el propio Wardle) puede acceder y desencriptar cualquier contraseña, desde la de nuestras cuentas de Twitter o Facebook a la de nuestra cuenta bancaria, sin pedirnos autorización de usuario.

Es cierto que la app no está autorizada y que macOS la bloquea por defecto, así que evitar que este fallo se produzca es evitable no descargando apps fuera de la App Store, pero aún así es una buena prueba de la existencia de esta brecha de seguridad que esperemos que Apple Solucione enseguida.

Nuestra recomendación, no obstante, es actualizar siempre nuestro Sistema Operativo a la última version disponible, no en vano macOS High Sierra es en sí mismo un sistema muy seguro y este problema no debería disuadirnos de hacerlo.

Vía| Forbes

Comentarios

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *