Un adolescente alemán de 18 años ha usado Twitter para dar a conocer a Apple y al resto de usuarios una vulnerabilidad que ha descubierto en la app de gestión de contraseñas KeyChain de macOS, que expondría cualquier password allí registrado.
El hallazgo lo dio a conocer Linus Henze a través de la red de microblogging y aunque se trata de un fallo de las Mac, al estar sincronizados los datos del Keychain, con otros dispositivos, esto podría afectar a los datos del iPhone también, según los expertos.
Según el joven, la vulnerabilidad que descubrió, permitiría obtener las claves usando otras apps. Mediante estas se pueden ‘leer’ las contraseñas del Keychain de macOS sin permisos de la víctima o por ejemplo de administrador. De hecho creo una aplicación para demostrarlo a la que llamó Keysteal.
Según Apple Insider, se logra esto a través de un exploit basado en un ataque ‘día cero’. Sim embargo es algo de lo que hasta ahora, no habría constancia de que haya sido aplicado para atacar a usuarios.
Por su parte, Henze ha solicitado explicaciones a Apple sobre la falta de un programa de compensación para desarrolladores para estos casos. A cambio, les ofrecía darles toda la información sobre el fallo así como el parche con el que se podría dar solución al problema de forma inmediata.
La marca ha reconocido que la vulnerabilidad sigue presente, aunque no ha emitido comunicación alguna sobre la solicitud del joven alemán.
