Tal como previsto, a Apple disponibilizou ontem o novo macOS High Sierra que se destaca por trazer várias novidades e por ser o primeiro sistema operativo para desktop da empresa com suporte para realidade virtual.
Embora esteja mais fluído e traga muitas novidades, este, que é apresentado como um sistema super seguro, passadas poucas horas já foi apontado como tendo uma vulnerabilidade grave!
Foram apenas precisas algumas (poucas) horas, após o lançamento do novo macOS High Sierra, para que Patrick Wardle, um investigador na área da segurança e um ex-NSA publicasse uma falha de segurança grave do sistema.
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— Patrick Wardle (@patrickwardle) September 25, 2017
De acordo com Wardle, usando uma pequena ferramenta (keychainStealer) é possível obter todas as credenciais guardadas no porta-chaves do sistema (Keychain) sem a necessidade de usar qualquer password para aceder à informação.
Without root priveleges, if the user is logged in, I can dump and exfiltrate the keychain, including plaintext passwords
Demonstração do ataque…
De referir que, para que tudo funcione, é necessário ter a ferramenta keychainStealer (algo que Wardle não disponibilizou) e permitir a instalação de aplicações de terceiros… uma ação que é sempre desaconselhada pela Apple.
Wardle revelou ainda que já tinha dado a conhecer este bug à Apple, mas o patch de correção não foi incluído na versão final, estando assim o sistema vulnerável. No entanto, o investigador de segurança espera que a Apple disponibilize rapidamente uma atualização para solucionar o problema.
Do lado da Apple ainda não há qualquer reação relativamente a esta vulnerabilidade.
PUB
PUB.
Loading …PUB.
Velocímetro Pplware
Teste a velocidade da sua Internet
