Esta noticia debería ser buena, pues corrige agujeros de seguridad. Pero en esta ocasión su descubridor ha tomado la decisión de no compartir con Apple su hallazgo como sentido de protesta.
Apple tiene un programa de recompensas de errores de los sistemas operativos, pero no a todos los sistemas. En el caso de iOS tiene habilitada esta recompensa, pero no en el caso de macOS. Es por esta razón por la cual no quiere compartir esta información con Apple.
Esta decisión por parte de Apple se puede deber a ser macOS un sistema muy depurado desde hace años. Por otro lado, el uso y la inversión a día de hoy en iOS es muy superior a macOS. Henze ha compartido con Apple y públicamente varios vulnerabilidades de iOS en el pasado y por tanto, tiene un correcto historial para pensar que el hallazgo es verídico.
En el video de Henze encontramos una demostración con KeySteal, que no requiere privilegios de administrador para ejecutar el ataque al llavero. Por otra parte, aun teniendo la listas de control correctamente configuradas, la intrusión puede llevarse a cabo. El exploit accede a todos los elementos del llavero, tanto de inicio de sesión como del sistema. En cambio, no puede acceder a iCloud Keychain, pues su estructura es diferente.
Apple debería replantearse un programa de recompensas para macOS, que vaya en beneficio de todos los usuarios, además la colaboración en este sentido siempre debe ser bien recibida. El propio Henze alienta a hackers a publicar sus hallazgos para presionar a Apple a premiarles por sus esfuerzos.
Sé el primero en comentar