Linuz Henze, pesquisador de segurança que já tem um histórico de descobertas de falhas nos sistemas operacionais da Apple, compartilhou agora uma demonstração em vídeo do que ele acredita ser uma falha do macOS Mojave capaz de dar acesso às senhas de usuários armazenadas no Acesso à Chaves (Keychain Access) — como informou o heise online [Google Tradutor].
Como podemos ver no vídeo, Henze está rodando a última versão pública disponível do macOS Mojave (10.14.3).
Ao abrir o Keychain Access e explorar a tal vulnerabilidade, ele conseguiu acessar todos as senhas armazenadas sem nenhum esforço ou privilégios de administrador usado um app chamado KeySteal. Ainda segundo o pesquisador, não importa se as ACLs1Access control lists, ou listas de controle de acesso. estão configuradas ou se a Proteção de Integridade do Sistema está ativada.
Felizmente, os dados armazenados nas Chaves do iCloud (aquelas senhas que você utiliza no Safari, para fazer login em serviços) não são afetados pela vulnerabilidade, já que tudo é armazenado de uma forma diferente.
Aparentemente, a única forma de se proteger enquanto o problema não é resolvido pela Apple é protegendo o Acesso às Chaves com uma senha adicional — o problema é que isso não é nem um pouco conveniente, já que fará com que você precise autenticar basicamente um monte de coisas ao usar normalmente o macOS.
Aliás, não se sabe se a Apple já teve acesso à vulnerabilidade. Henze não compartilhou suas descobertas pois está bastante frustrado com a Maçã — e com uma certa razão, já que o tal programa de recompensas só cobre falhas do iOS, deixando qualquer descoberta importante como essa no macOS de fora.
Veremos se a empresa corrige isso nas próximas versões beta do macOS Mojave 10.14.4.
via 9to5Mac
Notas de rodapé
- 1Access control lists, ou listas de controle de acesso.