iPOG: falha crítica no macOS permite coleta de senhas em plain text

macos-high-sierra

O macOS High Sierra mal chegou e já foi descoberta uma falha gravíssima no sistema: uma vulnerabilidade 0-day (que afeta também as versões Sierra e El Capitan) revelada pelo profissional de segurança Patrick Wardle, um ex-NSA que hoje trabalha para a Synack permite que programas maliciosos coletem dados extremamente sensíveis dos usuários, de senhas a números de cartões de crédito.

E o pior: em plain text.

O processo é simples e ardiloso: o macOS utiliza um sistema de gerenciamento de senhas chamado Keychain (ou “Chaveiro”) que guarda uma série de informações consideradas sensíveis, bem como chaves criptográficas e números de cartões de crédito, além de informações de login de apps e serviços. É uma prática normal para manter tais dados a salvo, desde que o sistema em si seja seguro o bastante para evitar intrusões. Coisas como criptografia, quando aplicadas aos dados também são uma boa pedida.

Só que não é bem o que acontece. Wardle descobriu que um app remoto é capaz de acessar o Keychain com certa facilidade e coletar os dados dos usuários, mas o problema maior reside no fato de que não é preciso um grande esforço para isso: programas não-autenticados pela Apple, instalados de forma forçada pelo usuário (por padrão o macOS bloqueia tais apps, mas não é difícil contornar as restrições do SO) ou mesmo versões legítimas que tenham sido comprometidas (antes que pergunte sim, o CCleaner também é compatível com o sistema da maçã) poderiam em tese ser capazes de realizar o ataque. Isso posto, conseguir uma licença junto à Apple só demanda o pagamento de US$ 99 por ano e nem é algo tão difícil assim de um desenvolvedor mal intencionado conseguir.

Wardle revelou que os testes foram bem sucedidos não só no macOS High Sierra, mas também nas versões Sierra e OS X El Capitan; isso significa que boa parte dos Macs ativos hoje estão vulneráveis a ataques do tipo. Porém o mais inacreditável é que Wardle conseguiu coletar todas as informações do Keychain em plain text. Não houve nenhum tipo de resistência, uma criptografia protegendo as informações, nada.

O vídeo abaixo mostra o ataque em curso:


Steal y0 (macOS) Keychain from patrick wardle

Wardle informa que notificou a Apple no último dia 7, semanas antes do High Sierra ser lançado e só pretende revelar como chegou à vulnerabilidade assim que a maçã corrigir a falha, algo que ainda não foi feito. Em nota, um porta-voz da Apple disse apenas que “o macOS é seguro por padrão” e que o sistema avisa o usuário para não instalar qualquer coisa no sistema (dando a entender que Wardle teria forçado a barra, quando é o que profissionais de segurança costumam fazer). Ele só não explicou por que diabos o SO armazena senhas em plain text.

Sejamos sinceros aqui: é óbvio que boas práticas por parte do usuário e/ou administradores de rede (em caso de máquinas corporativas) é imperativo para evitar a instalação de aplicativos suspeitos nos Macs, mas a Apple também não fez sua parte: a facilidade com que os atacantes podem extrair informações extremamente sensíveis do Keychain, ainda mais em plain text é imperdoável, é um POG digno da quizumba que era o app do Starbucks. É uma demonstração cabal de preguiça por parte dos desenvolvedores da maçã, provavelmente por acreditarem na baboseira “o macOS é o sistema mais seguro que existe”.

Não custa nada lembrar: não existe sistema 100% seguro. Seja por brechas no código, malícia ou mera ingenuidade sempre haverão falhas e os hackers, tal qual a Cosa Nostra não perdoam. É importante que o usuário saiba que não deve instalar qualquer coisa no macOS, Windows ou Linux mas também é obrigação das empresas ao menos fazerem o dever de casa.

Fonte: Extreme Tech.

Relacionados: , , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar

Aproveite nossos cupons de desconto:

Cupom de desconto Asus, Cupom de desconto Frio Peças, Cupom de desconto Mundo da Carabina, Cupom de desconto JBL, Cupom de desconto Costa Cruzeiros, Cupom de desconto Loja do Mecânico, Cupom de desconto Staples