Tal como previsto, a Apple disponibilizou ontem o novo macOS High Sierra que se destaca por trazer várias novidades e por ser o primeiro sistema operativo para desktop da empresa com suporte para realidade virtual.
Embora esteja mais fluído e traga muitas novidades, este, que é apresentado como um sistema super seguro, passadas poucas horas já foi apontado como tendo uma vulnerabilidade grave!
Foram apenas precisas algumas (poucas) horas, após o lançamento do novo macOS High Sierra, para que Patrick Wardle, um investigador na área da segurança e um ex-NSA publicasse uma falha de segurança grave do sistema.
https://twitter.com/patrickwardle/status/912254053849079808
De acordo com Wardle, usando uma pequena ferramenta (keychainStealer) é possível obter todas as credenciais guardadas no porta-chaves do sistema (Keychain) sem a necessidade de usar qualquer password para aceder à informação.
Without root priveleges, if the user is logged in, I can dump and exfiltrate the keychain, including plaintext passwords
Demonstração do ataque…
De referir que, para que tudo funcione, é necessário ter a ferramenta keychainStealer (algo que Wardle não disponibilizou) e permitir a instalação de aplicações de terceiros… uma ação que é sempre desaconselhada pela Apple.
Wardle revelou ainda que já tinha dado a conhecer este bug à Apple, mas o patch de correção não foi incluído na versão final, estando assim o sistema vulnerável. No entanto, o investigador de segurança espera que a Apple disponibilize rapidamente uma atualização para solucionar o problema.
Do lado da Apple ainda não há qualquer reação relativamente a esta vulnerabilidade.