2017/09/26

Vulnerabilidade no macOS High Sierra deixa roubar passwords


Demonstrando que não há sistemas operativos 100% seguros, o lançamento do mais recente macOS High Sierra da Apple vem acompanhado de uma vulnerabilidade que permite roubar todas as passwords guardadas no Keychain.

Esta vulnerabilidade descoberta por Patrick Wardle, um investigador de segurança que já trabalhou para a NSA como hacker, vem atingir a Apple num ponto particularmente sensível, pois permite a um atacante obter todas as passwords que o utilizador pensaria estar protegidas por se encontrarem no Keychain, que só deveria permitir o acesso depois do utilizador introduzir a sua passwords.

Isto faz com que qualquer app que se execute possa potencialmente roubar todas as passwords guardadas no sistema e enviá-las para o atacante remotamente, sem dar qualquer indicação ao utilizador do que foi feito - sendo que não só afecta a mais recente versão do High Sierra como também versões anteriores do macOS e OS X.

O caso foi reportado à Apple, mas a esperada correcção não ficou pronta a tempo do lançamento oficial do High Sierra; com o investigador a desafiar a Apple a lançar um programa de recompensas pela descoberta de vulnerabilidades (com o valor a reverter para instituições de caridade) e também alerta os utilizadores para que tenham a devida consciência de que o macOS é tão vulnerável quanto outros sistemas operativos - contrariamente à imagem que a Apple tenta fazer passar.

Segundo ele, de cada vez que perde um pouco mais tempo a olhar para o macOS, encontra uma nova vulnerabilidade (ainda no início do mês tinha descoberto outra vulnerabilidade que permite ultrapassar um novo sistema de segurança implementado no High Sierra). Em resposta, a Apple disse apenas que se tratam de programas que os utilizadores teriam que aceitar executar, e recomenda que só utilizem programas obtidos de fontes de confiança como a App Store.


Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]