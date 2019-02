Linuz Henze, pesquisador de segurança que já tem um histórico de descobertas de falhas nos sistemas operacionais da Apple, compartilhou agora uma demonstração em vídeo do que ele acredita ser uma falha do macOS Mojave capaz de dar acesso as senhas de usuários armazenadas no Acesso à Chaves (Keychain Access) — como informou o heise online [Google Tradutor].

Como podemos ver no vídeo, Henze está rodando a última versão disponível do macOS Mojave (10.14.3).

Ao abrir o Keychain e explorar a tal vulnerabilidade, ele conseguiu acessar todos as senhas armazenadas sem nenhum esforço ou privilégios de administrador usado um app chamado KeySteal. Ainda segundo o pesquisador, não importa se as ACLs estão configuradas ou se a Proteção de Integridade do Sistema está ativada.

Felizmente os dados armazenados nas Chaves do iCloud (aquelas senhas que você utiliza no Safari, para fazer login em serviços) não são afetados pela vulnerabilidade, já que tudo é armazenado de uma forma diferente.

Aparentemente, a única forma de se proteger enquanto o problema não é resolvido pela Apple é protegendo o Acesso às Chaves com uma senha adicional — o problema é que isso não é nem um pouco conveniente, já que fará com que você precise autenticar basicamente um monte de coisas ao usar normalmente o macOS.

Aliás, não se sabe se a Apple teve acesso à vulnerabilidade. Henze não compartilhou suas descobertas pois está bastante frustrado com a Maçã — e com uma certa razão, já que o tal programa de recompensas só cobre falhas do iOS, deixando qualquer descoberta importante como essa no macOS de fora.

Veremos se a empresa corrige isso nas próximas versões beta do macOS Mojave 10.14.4.

