Un usuario experto en ciberseguridad ha informado a Apple de una vulnerabilidad detectada en la aplicación de gestión de contraseñas KeyChain de macOS, que expone todas las contraseñas registradas en esta aplicación.
Se trata de Linus Henze, un experto que el pasado febrero informaba en la red social que había descubierto un error en el llavero de contraseñas KeyChain para dispositivos Mac que al parecer permitiría mostrar las contraseñas registradas en esta aplicación e incluso creó una aplicación para demostrarlo. La llamó KeySteal.
Dicha vulnerabilidad de KeyChain permite obtener la contraseña a través de un exploit basado en un ataque día cero que, hasta el momento, no hay constancia de que se haya usado para atacar a usuarios.
Heinze pidió a Apple que le explicase por qué no tenía un programa de compensación para desarrolladores "al igual que hacen otras grandes compañía". A cambio de una declaración con dicha explicación éste enviaría "toda la documentación junto con un parche de forma totalmente gratuita que les permitiría cerrar la vulnerabilidad de forma inmediata". Por el momento, Apple no se ha pronunciado ante las exigencias del desarrollador, que ha informado de que el bug sigue activo en la última actualización de macOS.
Crear cuenta