Un fallo de seguridad en el llavero KeyChain de Apple expone las contraseñas de los usuarios

20MINUTOS.ES

  • Un experto demuestra una vulnerabilidad descubierta en la 'app' de gestión de contraseñas para macOS.

Portátil de Apple

Un usuario experto en ciberseguridad demostró que una vulnerabilidad que ha descubierto en la aplicación de gestión de contraseñas KeyChain de macOS, que expondría cualquier contraseña allí registrada.

Se trata del usuario de Twitter Linus Henze, que el pasado febrero informaba en la red social que había descubierto un error en el llavero de contraseñas KeyChain para dispositivos Mac que permitía mostrar las contraseñas de registradas en esta aplicación e incluso creó una app para demostrarlo, llamada 'KeySteal'.

Según Apple Insider, la vulnerabilidad de Keychain permite obtener las contraseñas a través de un 'exploit' basado en un ataque 'día cero' que, hasta el momento, no existe constancia de que se haya utilizado para atacar a usuarios. Las contraseñas se extraen en texto natural, sin encriptar.

El experto se lo comunicó a Apple a través de un correo electrónico, pero, antes de dar a la compañía todos los detalles del fallo, pidió a la marca que le explicase por qué no tenía un programa de compensación para desarrolladores "como hacen otras grandes firmas" o incluso Apple para las app de iOS. A cambio de una declaración con dicha explicación, este enviaría "toda la información junto con un parche de forma gratuita que les permitiría cerrar la vulnerabilidad de manera inmediata".

Apple aún no ha respondido a estas exigencias.