Apple, iPhone, Mac, Popular

Fallo de seguridad Zero-Day permite a ciberdelincuentes robar contraseñas de apps y llavero de iCloud



mac-os-x-ios-zero-day-4325345



Según un equipo de investigadores de la universidad de Indiana junto con el Instituto de tecnología de Georgia en Estados Unidos, han encontrado varios agujeros de seguridad en iOS y OS X que permite a una aplicación con código malicioso robar contraseñas del llavero de iCloud, así como contraseñas de aplicaciones de terceros instaladas en los dispositivos.

Esto ya ha sido confirmado por Apple y Google, entre otros más …

Según las fuentes:

Hemos descifrado por completo el servicio de llavero que se utiliza para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple y contenedores sandbox en OS X, y también identificaron nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS que se pueden utilizar para robar datos condifenciales de Evernote, Facebook y otras aplicaciones de alto perfil.

theregister ha publicado como este equipo de investigadores informaron en octubre del año pasado a Apple. En este momento, la compañía de Cupertino entendió la severidad del problema y pidió un plazo de seis meses para hacer frente a este problema, antes de que se hiciera público el fallo de seguridad.

Aunque el fallo de seguridad ya se ha hecho público, Apple no ha tomado las medidas necesarias para corregir este error de seguridad, por lo que a día de hoy una aplicación que entrara en el App Store de forma legítima pero con código malicioso basado en este fallo, permitiría hacerse con las credenciales del llavero de iCloud y con datos confidenciales de aplicaciones muy populares.

Por su parte, el equipo de investigación que hemos mencionado al principio del artículo probó este exploit en varios sistemas con las últimas versiones de iOS y OS X y en el 90% de los casos se pudo conseguir la información que un ciberdelincuente podría conseguir.

Desarrolladores de aplicaciones tan populares como 1Password han dicho que no veían la manera de evadir este exploit y los efectos que puede causar en su propia aplicación. Por su parte Google decidió retirar el almacenamiento de contraseñas de Google Chrome para iOS por este motivo también.

Como recomendación ante esta amenaza para dispositivos iOS y Mac, se recomienda no instalar aplicaciones de fuentes desconocidas dentro del App Store, hasta que Apple se pronuncie con una actualización de seguridad para este fallo.



Previous ArticleNext Article
Apasionado de la tecnología desde siempre, me gusta cacharrear con todo tipo de accesorios y me fascinan los productos de Apple, sobre todo el iPhone.