Falha no novo sistema do macOS permite roubo de senhas de usuários

Bug permite que aplicativos danosos possam acessar senhas armazenadas no Keychain
Redação06/02/2019 22h29, atualizada em 07/02/2019 00h00

20171130124326

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Um pesquisador de segurança alemão publicou um vídeo no YouTube no fim de semana para mostrar um novo zero-day — uma falha de segurança explorada antes que a empresa a solucione — no macOS.

Linus Henze, o pesquisador que divulgou o vídeo, disse em entrevista ao site de tecnologia alemão Heise que a vulnerabilidade permite que um aplicativo danoso executado em um sistema macOS tenha acesso a senhas armazenadas no Keychain (o sistema que gerencia senhas no macOS). Henze se refere ao defeito como “KeySteal”.

A falha é poderosa porque o aplicativo não precisa de acesso do administrador do computador para recuperar senhas no Keychain. Além disso, ele pode acessar senhas de outros usuários do macOS armazenadas no sistema.

Henze não divulgou nenhum código como prova de sua descoberta, exceto o vídeo. Entretanto, um respeitado pesquisador de segurança da Apple confirmou em um artigo da Forbes que o problema existe e age como descrito por Henze.

Ele não relatou a falha à Apple antes de publicar o vídeo porque a empresa não tem um programa de recompensas para a descoberta de bugs no macOS. A Apple tem programas do tipo para falhas de sistemas em outros produtos.

O pesquisador disse ainda que a equipe de segurança da Apple entrou em contato com ele na terça-feira, 5. Os profissionais queriam mais detalhes, mas ele respondeu que apenas informaria se a marca recompensasse usuários que encontrassem bugs no macOS.

“Mesmo que pareça que estou fazendo isso apenas por dinheiro, essa não é a minha motivação nesse caso”, disse Henze à ZDNet. Ele garante que a ideia é fazer que a Apple crie um programa de recompensas de descoberta de bugs.

Para Henze, essa é a melhor maneira de tornar os produtos da companhia mais seguros. O “KeySteal” descoberto por ele é similar a um erro operacional do macOS, o KeychainStealer. Ele foi descoberto em setembro de 2017 pelo especialista de segurança independente da Apple, Patrick Wardle.

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital