Los
investigadores Antoine Vincent Jebara y Raja Rahbani, de la compañía de gestión
de identidad MyKi, han descubierto una vulnerabilidad en el sistema de administración
de contraseñas (keychain o llavero) que podría permitir a un atacante obtener las
credenciales almacenadas.
Los investigadores descubrieron
el problema mientras trabajaban con el administrador de contraseñas para su
propio producto. Detectaron que si enviaban determinados comandos de terminal, el
llavero desvelaba las contraseñas sin mayor interacción del usuario.
A través de los comandos se crea
una situación en la que, en lugar de pedir un usuario la contraseña de Keychain,
le pedirá que pulse un botón para permitir. Los dos investigadores desarrollaron
una prueba de concepto que lanza los comandos y simula una pulsación del ratón
en el lugar donde aparece el botón permitir. De esta forma se puede conseguir la
contraseña del usuario y enviarla al atacante a través de un SMS o cualquier
otra vía.
Todo el proceso lleva menos de un
segundo y es lo suficientemente sigiloso para pasar desapercibido por la
mayoría de antivirus, ya que su comportamiento no es el habitual de cualquier
otro malware.
Los investigadores han publicado
un vídeo en el que muestran su prueba de concepto:
Según los investigadores el
problema también podría llegar a afectar a las contraseñas de los dispositivos
iOS que tenga el usuario, en el caso de que se haya optado por usar el llavero
de iCloud, ya que entonces todas las contraseñas guardadas el el dispositivo
iOS también podrán ser extraídas por el exploit. Aunque el exploit solo puede
ejecutarse en sistemas Mac OS X.
Más información:
Researchers discover new keychain vulnerability in OSX
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario