Saltar al contenido

¿Qué es KeySteal? Explicación del exploit del llavero de macOS

25/10/2020

Con el polvo aún sin asentarse después de la Error de privacidad de FaceTime, las noticias sobre otra vulnerabilidad de macOS ya están en los titulares de los medios de comunicación de primer nivel. Se llama exploit de llavero de macOS, y si es un usuario de Mac que lo escucha por primera vez, hágase un favor y lea este artículo con atención.

Explotación del llavero de MacOS: ¿que pasó?

Resulta que Keychain, la aplicación macOS diseñada para almacenar de forma segura contraseñas y otras credenciales de usuario, no es tan segura como Apple quiere que creamos. Un investigador de seguridad alemán, Linuz Henze, revelado a través de Twitter, cualquiera puede robar sus contraseñas usando una aplicación llamada KeySteal.

Para aprovechar esta vulnerabilidad del llavero de macOS, un pirata informático primero necesitaría instalar esta aplicación maliciosa (KeySteal) en la Mac de la víctima. Por supuesto, es poco probable que ocurra una situación así (a menos que tenga algunos piratas informáticos de contraseñas merodeando por su Mac de vez en cuando). Sin embargo, este caso demuestra lo poco que se necesita para acceder al «almacenamiento de contraseñas más seguro».

¿Qué es KeySteal?

KeySteal es una aplicación maliciosa diseñada para extraer contraseñas de usuario y otras credenciales almacenadas en macOS Keychain sin privilegios de administrador.

KeySteal era un experto en seguridad alemán de 18 años. Parece que su intención era mostrar al mundo cuán insegura es realmente su privacidad y, lo más importante, convencer a Apple de la necesidad de ofrecer un programa de recompensas por errores para macOS.

KeySteal hace su trabajo de manera efectiva en todas las versiones de macOS, incluido macOS Mojave recientemente actualizado.

¿Cómo respondió Apple a las noticias sobre la vulnerabilidad del llavero de macOS?

Como sabemos ahora, Apple se puso en contacto con Linus Henze con respecto a la vulnerabilidad que encontró. Le pidieron que proporcionara detalles sobre su exploit y aceptó hacerlo si explicaban públicamente por qué no ejecutan un programa de recompensas por errores para macOS (como lo hacen para iOS).

Apple no respondió. Al menos al momento de escribir este artículo.

Llavero masOS explota el correo electrónico de sistema de Linus Henze

Si bien es una buena señal que Apple se acercó en primer lugar, parece sospechoso que se negaran a cumplir con una solicitud tan simple, especialmente, dado que la privacidad de los datos de toda su base de usuarios está en juego.

Además, el sitio web de Apple envía señales contradictorias sobre la gravedad del problema. El resultado de búsqueda con la clasificación más alta para «Violación del llavero de Apple» contradice rotundamente los siguientes 2 resultados.

¿Es seguro el llavero de macOS?

¿Qué debe hacer como usuario habitual de Mac?

Si le preocupa ser víctima de este error problemático, hay 2 pasos sencillos que puede seguir para proteger su privacidad.

Cambie su contraseña predeterminada del llavero por una única (y segura)

Recuerde que descargar aplicaciones de fuentes sospechosas y no oficiales puede poner en riesgo su seguridad y privacidad en línea.

La palabra final sobre KeySteal y macOS keychain exploit

Si hay algo valioso que aprender de esta historia, que sea esto: llamar a algo completamente seguro no es suficiente. Este preocupante error debería servir como otra buena lección para Apple. Le deseamos a Linuz Henze la mejor de las suertes para convencer a Apple de que ejecute un programa de recompensas por errores. Obviamente, no estaría de más.