Um profissional de segurança digital descobriu há algum tempo que o gerenciador de senhas do macOS, o Keychain ou “Acesso às Chaves”, tem uma vulnerabilidade fundamental que pode ser explorada por hackers com certa facilidade. É possível roubar todas as senhas e logins sem digitar a senha mestra do programa. Patrick Wardle, que trabalhou na NSA (a agência de espionagem norte-americana) e que agora é funcionário da Synarck, publicou um vídeo descrevendo o passo a passo para explorar o problema.
Você pode achar que essa atitude é irresponsável, mas Wardle já tinha enviado um relato desse problema há um bom tempo para a Apple. Como a empresa não deu um retorno positivo, e ele percebeu que o macOS High Sierra conta com mesma vulnerabilidade das versões antigas do sistema, Wardle resolveu pressionar a Apple tornando a falha pública.
Desimportante?
Contudo, a companhia não parece muito preocupada. Em um comunicado oficial enviado ao ArsTechnica, a empresa disse que a demonstração foi feita com um app não certificado e recomendou que a instalação desses softwares nunca seja feita pelo usuário.
“O macOS foi desenvolvido para ser seguro por padrão, e o Gatekeeper avisa usuários sobre os perigos de instalar apps não certificados — como esse mostrado na prova de conceito — e evita que eles abram apps sem aprovação explícita. Nós recomendamos que os usuários só façam o download de apps a partir de fontes confiáveis, tais como a Mac App Store, e que prestem atenção em diálogos de segurança que o macOS apresenta”, diz o comunicado oficial da Apple.
O Gatekeeper ao qual a Apple se refere é um sistema de segurança que avisa os usuários quando eles tentam instalar softwares não certificados digitalmente. Apesar dessa primeira barreira evitar que usuários com pouco conhecimento instalem apps não reconhecidos pela Apple, é possível que programas cerificados também se aproveitem da brecha para roubar dados. Como isso pode ser feito sem que o usuário perceba qualquer atividade suspeita, o perigo aumenta.
Eu fico desapontado continuamente com a segurança do sistema
“Como um usuário apaixonado pelo macOS, eu fico desapontado continuamente com a segurança do sistema. Eu não quero que isso seja levado para o lado pessoal por ninguém na Apple, mas sempre que eu olho torno para o macOS, alguma coisa sempre aparece quebrada. Eu achei que os usuários deveriam estar cientes dos riscos que existem por aí”, disse Wardle ao Ars.
Ele também recomendou que a Apple inicie um programa de recompensa para pesquisadores que buscam bugs no macOS, uma vez que isso já existe para o iOS. Segundo Wardle, a vulnerabilidade do gerenciador de senhas é grave e está presente em todas as versões do sistema da Apple, inclusive no novíssimo High Sierra. Portanto, nossa recomendação é não utilizar esse recurso e apagar todas as suas senhas salvas por lá.
Fontes