Tecnologias
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

(CNNMoney) Apple asegura que su software "Keychain" permite a sus usuarios guardar de forma segura sus contraseñas en sus Macs. Sin embargo, los cibercriminales han probado lo contrario. Una falla fundamental encontrada en las Macs permite que una aplicación maliciosa tome las contraseñas que tienes guardadas en el Keychain, o incluso desde otras 'apps'.

Con esto tus contraseñas de iCloud, notas, fotos, correo electrónico, banca en línea y redes sociales (es decir, todas) están expuestas a esta vulnerabilidad. El profesor en ciencia computacional de la Universidad de Indiana XiaoFeng Wang y su equipo de investigadores encontraron varias maneras en las que esta aplicación podría entrar a otras 'apps'. 

Los investigadores encontraron que un software malicioso puede introducirse al Keychain, borrar contraseñas antiguas y esperar a que las tengas que volver a escribir. Cuando lo haces, entonces las toma.

También encontraron un problema con la forma en la que Apple categoriza los programa de Mac a través de una ID única conocida como BID. Por ejemplo, los cibercriminales pueden asignar el BID de la aplicación de correo electrónico a una pieza de malware y así entrar a muchos de los programas en los que confías.

El equipo de la Universidad de Indiana analizó las 1,612 principales 'apps' de Mac y encontró que 89% de ellas son susceptibles a este tipo de ataque.

Para comprobarlo, los investigadores introdujeron una 'app' maliciosa a la App Store de Apple para robar contraseñas. El malware estaba disfrazado como una aplicación de chistes llamada "Joke Everyday". 

Apple en silencio

Apple no realizó comentarios sobre esta falla el martes.

Sin embargo, una persona con conocimiento sobre la forma de operar de Apple dijeron que la firma está trabajando en una reestructura de cómo su sistema operativo Mac OS X separa las aplicaciones. También comentaron que se trata de un trabajo pesado, por lo que se necesitará que todos los desarrolladores independiendes de la firma establezcan nuevas medidas de seguridad y actualicen todas las 'apps'. 

Arreglar el Keychain será todavía más difícil, dijo esa persona. Apple también está mejorando el cómo revisa los nuevos programas que llegan a su App Store.

El equipo de investigadores dijo que compartió la información el martes luego de que Apple tardara demasiado en arreglar el problema. Ellos notificaron por primera vez a la firma en octubre. Apple hizo cambios a su sistema operativo en enero, pero estos no arreglaron la falla. 

"Esto es muy serio", dijo Wang. "Si continúabamos en silencio, hubiera sido injusto para los usuarios de Apple. Es muy probable que alguien ya conozca este tipo de vulnerabilidad". 

La política de Apple al encontrar virus dañinos consiste en arreglarlos de manera silenciosa. A principios de este mes, CNNMoney dijo que la forma en que la firma realiza actualizaciones de seguridad necesita un cambio. 

Wang dijo que esto podría haberse evitado si Apple se hubiera comunicado mejor con los ingenieros que desarrollan de manera independiente los programas de software para las Macs. 

"Apple necesita informar a los desarrolladores de las 'apps' sobre qué deben hacer. En algunos casos, Apple falla en proveer una prueba de seguridad a estas personas", dijo Wang. 

El investigador y estudiante líder de la investigación, Luyi Xing, dijo que Apple les contestó en un inicio, pero no comenzó a trabajar con los analistas en seguridad –ni compartió su progreso– hasta después de que hicieran público este reporte. 

"Ahora nos mandan un par de correos electrónicos al día", dijo Xing. 

Una persona con conocimiento sobre las políticas de seguridad de Apple dijo que ellos fueron tomados por sorpresa por la repentina publicación de este reporte, luego de que la compañía se estuviera comunicando con los investigadores.

"El problema se habría solucionado si nos hubieran tomado más en serio, Ahora tienen que hablar activamente con nosotros. Esto es más evidencia de que debemos salir a la luz en algunos casos", dijo Wang. 

Los investigadores podrían pagar por su atrevimiento. Apple normalmente retira los permisos de desarrolladores a quienes hablan sobre problemas de malware de la empresa –aún cuando se trata de una investigación de seguridad. El investigador Charlie Miller obtuvo una suspensión de un año de la App Store en 2011 por esta misma razón. 

Wang espera que Apple no haga lo mismo con su equipo de seis personas.

"No creo que sería justo. Nuestra intención es ayudar a Apple, de hecho encontramos más de lo que compartimos. Existe otra vulnerabilidad que es bastante seria y no la hemos comentado", dijo.

Fuente: CNNexpansion / Por: Jose Pagliery

Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx

Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.

 

Suscríbase para recibir novedades, regalos y artículos

Su email jamás será compartido con nadie. Odiamos el spam.

Te puede interesar...

Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
DoubleClick/Google Marketing
Accept
Decline
$family
Accept
Decline
$constructor
Accept
Decline
each
Accept
Decline
clone
Accept
Decline
clean
Accept
Decline
invoke
Accept
Decline
associate
Accept
Decline
link
Accept
Decline
contains
Accept
Decline
append
Accept
Decline
getLast
Accept
Decline
getRandom
Accept
Decline
include
Accept
Decline
combine
Accept
Decline
erase
Accept
Decline
empty
Accept
Decline
flatten
Accept
Decline
pick
Accept
Decline
hexToRgb
Accept
Decline
rgbToHex
Accept
Decline
min
Accept
Decline
max
Accept
Decline
average
Accept
Decline
sum
Accept
Decline
unique
Accept
Decline
shuffle
Accept
Decline
rgbToHsb
Accept
Decline
hsbToRgb
Accept
Decline
Básicas
Accept
Decline
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accept
Decline
Analíticas
Accept
Decline
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accept
Decline
$family
$hidden
Accept
Decline
overloadSetter
Accept
Decline
overloadGetter
Accept
Decline
extend
Accept
Decline
implement
Accept
Decline
hide
Accept
Decline
protect
Accept
Decline
attempt
Accept
Decline
pass
Accept
Decline
delay
Accept
Decline
periodical
Accept
Decline
$constructor
alias
Accept
Decline
mirror
Accept
Decline
pop
Accept
Decline
push
Accept
Decline
reverse
Accept
Decline
shift
Accept
Decline
sort
Accept
Decline
splice
Accept
Decline
unshift
Accept
Decline
concat
Accept
Decline
join
Accept
Decline
slice
Accept
Decline
indexOf
Accept
Decline
lastIndexOf
Accept
Decline
filter
Accept
Decline
forEach
Accept
Decline
every
Accept
Decline
map
Accept
Decline
some
Accept
Decline
reduce
Accept
Decline
reduceRight
Accept
Decline
forEachMethod
Accept
Decline
each
clone
clean
invoke
associate
link
contains
append
getLast
getRandom
include
combine
erase
empty
flatten
pick
hexToRgb
rgbToHex
min
max
average
sum
unique
shuffle
rgbToHsb
hsbToRgb