Un usuario ha informado a Apple de una vulnerabilidad encontrada en la aplicación de gestión de contraseñas KeyChain para el sistema operativo macOS, incluida de serie en el sistema, que expone todas las contraseñas registradas en dicha 'app'. El pasado mes de febrero, el usuario de Twitter Linus Henze informaba través de esta red social que había descubierto un error en el llavero de contraseñas KeyChain para dispositivos Mac que permitía mostrar las contraseñas de registradas en esta 'app' e incluso creó una 'app' para demostrarlo, llamada 'KeySteal'.
La vulnerabilidad de KeyChain permite obtener las contraseñas a través de un 'exploit' basado en un ataque 'día cero' que, hasta el momento, no existe constancia de que se haya utilizado para atacar a usuarios, según Apple Insider. Las contraseñas se extraen en texto natural, sin encriptar. Sin embargo, Henze pidió a la marca que le explicase por qué no tenía un programa de compensación para desarrolladores "al igual que hacen otras grandes firmas" o incluso Apple para las apps de iOS. A cambio de una declaración con dicha explicación este enviaría "toda la información junto con un parche de forma gratuita que les permitiría cerrar la vulnerabilidad de manera inmediata".
Apple aún no se ha pronunciado ante las exigencias del desarrollador, que ha informado que el 'bug' sigue presente en la última actualización de macOS.
