Los usuarios de Apple están afrontando una seria vulnerabilidad zero-day o de día cero que podría abrir las puertas de las credenciales de sus aplicaciones a los atacantes, tanto en los ordenadores Mac como en los iPhone y iPads. Un fallo de seguridad en su software de gestión de contraseñas (Keychain).

Keychain o el llavero de iCloud, es una herramienta con la que el usuario puede almacenar las contraseñas de los distintos servicios en una única clave, desde nombres de cuentas, contraseñas de aplicaciones o números de tarjetas de crédito.

Un grupo de investigadores de la Universidad de Indiana han encontrado una cadena de vulnerabilidades en OS X y en iOS que, combinadas, permitirían a un atacante tomar el control de las aplicaciones del dispositivo, robando las contraseñas de iCloud, tokens de autenticación, contraseñas guardadas en Google Chrome… por poner unos ejemplos.

Estos errores permiten saltarse los sandboxes de las aplicaciones y la seguridad de App Store, como informan en Infosecurity. Los atacantes pueden explotar este error para robar contraseñas de aplicaciones instaladas, incluyendo también el cliente de email nativo, y lo más importante, sin ser detectado.

Los investigadores lo han denominado como “unauthorized cross-app resource access” o XARA. En otras publicaciones, como The Register, la han llamado Apple Cored, porque el problema está en el corazón de OS.

El equipo de investigadores fue capaz de publicar malware en el App Store de Apple, y pasar el proceso sin despertar alarmas. El malware, cuando es instalado en el dispositivo de la víctima, asalta keychain – donde están almacenadas todas las passwords – y por tanto es capaz de obtener las contraseñas de todos los servicios.

icloudkeychain

De momento Apple no ha declarado al respecto, pero los investigadores ha han colgado algunos vídeos que muestran el funcionamiento de esta vulnerabilidad. En cualquier caso, Apple ha sido informada de este fallo, por lo que se espera que esté desarrollando un parche para solucionarlo.

El llavero o Keychain se puede usar en cualquier dispositivo de Apple del usuario, de esta forma mantiene actualizadas las contraseñas y la información de las tarjetas de crédito en todos los dispositivos.

Como precaución, se recomienda desactivar la opción de “recordar contraseña” cuando el sistema lo proponga. Y como el fallo de seguridad está directamente implicada con la instalación de apps maliciosas, hay que aumentar las precauciones con las aplicaciones que descargues.

Una mala semana para dos gigantes,después de que ayer saliera a la luz otra vulnerabilidad de Samsung por la cual más de 600 millones de dispositivos de la marca están expuestos a ataques.

 

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker.
@monivalle

Deja un comentario