Linus Henze, un joven alemán de 18 años, ha descubierto una vulnerabilidad que afecta seriamente macOS de Apple, particularmente a Keychain, el sistema de gestión de contraseñas.
Mediante un video en YouTube, el joven mostró cómo puede acceder sin permisos de administrador a las contraseñas almacenadas en el sistema, aprovechando un bug.
PUBLICIDAD
Keychain es el sistema de gestión de contraseñas en macOS. Básicamente, contiene datos referidos a contraseñas para sitios, cuentas SSH, redes inalámbricas, entre otras. En otras palabras, información muy valiosa que podría ser aprovechada con malas intenciones.
Según explicó el mismo Henze en su canal de YouTube, emplea un exploit 0 Day para aprovechar la vulnerabilidad. Incluso creó una interfaz gráfica para hacerlo todo más fácil.
Henze también dijo que no necesitaba permisos de administrador para hacerlo, y que el error podría significar un gran problema para la firma, puesto que algún desconocido podría aprovechar el bug, incorporando código en algún software “legítimo”. En ese marco, se abre una brecha importante.
Si bien algunos usuarios criticaron el video, mencionando que faltaba información para asegurar que el error era real, Forbes hizo que el especialista en seguridad Patrick Wardle, estudiara la vulnerabilidad. Wardle, ex analista de la NSA, quedó impresionado con el hallazgo del joven investigador:
“Mis felicitaciones a Linus. Es un poco desalentador que Apple no pueda averiguar cómo asegurar Keychain. ¿Cuál es el punto de crear algo para almacenar toda la información confidencial en el sistema si ese mecanismo es constantemente inseguro? “
Y sobre esto último, el experto se refiere al hecho de que Henze no reveló de entrada el problema a Apple. Henze le dijo a Forbes que se está negando a dar a Apple detalles del bug porque la compañía no paga a los investigadores cuando encuentran fallas explotables en macOS.