El investigador proporciona a Apple detalles (y solución) para el defecto del llavero
Foto: Killian Bell / Cult of Mac
Un investigador de seguridad ha decidido proporcionar a Apple detalles, y un parche, para un grave defecto de llavero en macOS Mojave que permite que cualquier persona acceda a sus nombres de usuario y contraseñas guardados.
Linus Henze retuvo previamente la información en protesta por la decisión de Apple de no ofrecer un programa de recompensas por errores de macOS. Ahora cree que el problema es demasiado grave para que la empresa lo ignore.
Henze detalló la vulnerabilidad y un programa que creó para explotarla el mes pasado. Su herramienta KeySteal permitió obtener nombres de usuario y contraseñas de Keychain sin acceso de administrador en la última versión de macOS.
Henze decidió no compartir los detalles con Apple en ese momento, pero desde entonces ha cambiado de opinión.
Apple se entera de los detalles de la falla del llavero
"Decidí enviar mi exploit Keychain a Apple, aunque no reaccionaron, ya que es muy crítico y porque la seguridad de los usuarios de macOS es importante para mí".
Henze tuiteó. "Les he enviado los detalles completos".Sorprendentemente, Henze también envió a Apple una solución para el problema, "gratis, por supuesto".
Apple no se deshará de los errores de macOS
Si esto fuera un defecto en iOS, Henze habría recibido una recompensa por su descubrimiento como parte del programa de recompensas por errores de Apple. Pero debido a que el problema está en macOS, para el cual no existe un programa de recompensas, Henze no obtendrá nada.
Henze había estado animando a otros investigadores a revelar públicamente los problemas que descubrieron en macOS, y retener los detalles de Apple, en un esfuerzo por presionar a la compañía para que ofrezca el error de macOS recompensas. Pero el plan no dio resultado.
Apple se puso en contacto con Henze para preguntarle sobre su descubrimiento, pero no respondió a sus demandas de un programa de recompensas. Henze ahora ha cedido para asegurarse de que el problema se solucione y de que los usuarios de macOS estén seguros.
Cómo prevenir el exploit KeySteal
Aún no está claro si Apple utilizará la solución de Henze o cuándo se solucionará el problema en Mojave. No ha habido informes de malos actores que utilicen exploits similares en la naturaleza, pero los usuarios pueden asegurarse de que están a salvo bloqueando Keychain con una contraseña adicional.