Una importante vulnerabilidad en iOS y OS X de Apple permite robar todas las contraseñas del usuario. Se trata de una vulnerabilidad de tipo zero-day, las más graves, que permite hackear Keychain, el servicio de contraseñas de los dispositivos de la manzana mordida.
Se pueden robar contraseñas tanto de las apps de Apple como las de terceros, por ejemplo, Facebook, Twitter, el correo, las contraseñas de Google Chrome o cualquier otro servicio. Para ello tan solo es necesario instalar una app maliciosa. Además la vulnerabilidad lleva presente en iOS y OS X desde el pasado mes de octubre.
Los investigadores e la Universidad de Indiana, el Instituto de Tecnología y la Universidad de Pekín informaron a Apple antes de hacer pública la vulnerabilidad pero parecen haber sido ignorados ya que sigue presente en las últimas versiones de ambos sistemas operativos.
Incluso estos investigadores consiguieron pasar el control de seguridad de apps de las tiendas de aplicaciones de Apple, filtrando así una app maliciosa y explotando la vulnerabilidad. De esta forma se hicieron con los datos bancarios de los usuarios almacenados en el navegador Google Chrome e incluso con las claves de iCloud, Evernote y WeChat. Las consecuencias, como vemos, son importantes.
El 88% de las aplicaciones de Mac y iOS serían vulnerables a este ataque a través de Keychain de Apple, que es donde radica la vulnerabilidad. Por tanto Apple tiene la posibilidad de solucionar fácilmente este problema que afecta a todo el ecosistema de apps para los sistemas operativos.
Google y otros reaccionan por su parte
Compañías como Google o los responsables de la app 1Password han corregido la vulnerabilidad en sus apps de forma independiente. ¿Cómo? Eliminando la integración con Keychain de Apple y utilizando sus propios sistemas. Así evitan que las contraseñas de sus apps se alojen en este problemático sistema.
Vía: The Register
- Ver Comentarios