Fallo de seguridad en iOS y Mac OS podría filtrar nuestra contraseña

0

Se ha descubierto que miles de usuarios de Apple están afectados por un importante problema de seguridad en sus aparatos, habiendo permanecido en peligro durante al menos 9 meses.

Fallo de seguridad en Mac OS

Las alarmas han saltado recientemente y además los dispositivos con Mac o iDevice seguirán en riesgo por el momento. Y lo peor de este asunto es que hace casi medio año que los investigadores de seguridad notificaron el problema a Apple.

Usuarios de Apple, toca renovar contraseña

Fallo de seguridad en Mac OSLos investigadores de las Universidades de Indiana, Peking yInstituo tecnológico de Georgia unieron fuerzas para destapar un fallo de seguridad grave, que ellos documentaron en su momento como Unauthorized Cross-App Resource Access on Mac OS X and iOS

En dicha ficha, los expertos decribieron la forma en que descubrieron estos problemas de seguridad en Mac OS X e iOS, proporcionando las contraseñas sin saberlo a aplicaciones instaladas.

En un informe publicado por The Registrer describieron la historia de la siguiente forma:

El equipo fué capaz de enviar malware a la Apple Store, superando los posibles vetos y comprobaciones de seguridad. Dicho malware, cuando se instalaba en el equipo de la víctima, atacaba al Keychain para robar las contraseñas para servicios que incluyen iCloud o la Aplicación Correo…

 

Por supuesto, los investigadores fueron capaces de enviar apps con contenido dañino a la App Store oficial sin ser detectados por Apple. Por tanto es lógico pensar que muchos ya lo habrían conseguido (hemos conocido algunos casos).

Hackeando OSX vía keychain

En esta demostración en vídeo, los investigadores demuestran como una app maliciosa instalada sobre OS X Yosemite fué capaz de apropiarse de los tokens (contraseñas) almacenadas -supuestamente de forma segura- en Keychain.

Según el informe, la vulnerabilidad está causada por una carencia de autenticaciones entre las propias aplicaciones, lo que lleva a que se produzca algo denominado XARA (cruce de accesos entre apps no autorizadas). Para determinar la gravedad del problema, el equipo desarrolló una herramienta que podía escanear de forma automática las apps de Mac OS X e iOS. Así, sabían en todo momento si el código estaba afectado o no.

Bad AppleUn increíble 88,6% de las 1612 apps gratuitas que existen en el App Store resultó ser vulnerable a este tipo de ataques.

Consecuencias 

Las consecuencias son graves: por ejemplo, en el último Mac OS X 10.10.3, la app bajo sandbox fué capaz de apropiarse -a través del keychain- de las contraseñas y tokens de iCloud, el Email y todo tipo de perfiles sociales que estuvieran contenidos en la app de sistema “Internet Accounts”.

También están afectadas las contraseñas del banco, Gmail e incluso se interceptaron las de la popular aplicación 1Password y el token secreto de Evernote o WeChat.

Reportamos estos problemas a Apple y otros desarrolladores de software, coincidiendo todos en la gravedad del asunto.

Es un problema serio

Y no solo eso: el problema con el Keychain de Apple aún no ha sido solucionado. Las Universidades reportaron el problema a la compañía el día 15 de Octubre de 2014, contactando de nuevo 1 mes más tarde, en Noviembre. Según han comentado, la respuesta de Apple fué afirmativa, aunque requirieron un período de gracia de 6 meses para corregir el problema.

Fallo de seguridad en iOS y Mac OS podrían filtrar contraseñas

 

Pero han pasado 9 meses y seguimos igual que estábamos.

Conclusiones

De momento y hasta encontrar una solución, lo más prudente es descargar apps del App Store con precaución, tanto en Mac OS X como en iOS.

 

Compartir.

Sobre el Autor

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR