keychain es en Mac OS X una mini base de datos que recopila todas tus contraseñas ya sean de páginas web, redes sociales o bancarias. La idea es facilitar los ingresos en esas páginas pero han descubierto un nuevo fallo de seguridad.
Antoine Vincent Jebara y Raja Rahbani han descubierto un fallo de seguridad en keychain que permite a los curiosos o hackers conseguir fácilmente tus contraseñas, certificados de seguridad y otras cosas sin necesidad de que el usuario haga nada.
El malware para activar este fallo de seguridad puede ir en cualquier plugin tipo Adblock Plus, incrustado en una imagen, en hojas de cálculo o cualquier documento. Ellos han probado un método que no levanta sospechas en ningún usuario.
La vulnerabilidad es sumamente crítica, ya que permite a cualquier persona robar todas sus contraseñas de forma remota con sólo descargar un archivo que no se ve malicioso en absoluto y que no puede ser detectado por los detectores de malware para Mac OS X, ya que no se comporta de la forma de malware suele hacer.
La vulnerabilidad es bastante crítica porque permite el envío por internet de tus de contraseñas en modo texto sin necesidad de que hagas nada, incluso por descargar un archivo sin que te des cuenta.
Jebara dice que ha notificado este fallo de seguridad tan importante a Apple pero se han hecho oídos sordos y no les ha quedado más remedio que hacerlo público vía Youtube.
En el vídeo podemos comprobar que al abrir una simple fotografía envía automáticamente nuestra contraseña a un smartphone, en este caso a un iPhone.
Últimamente Apple está teniendo serios problemas de seguridad en iOS 8 así como en OS X Yosemite, no hay una semana que no necesite algún tipo de actualización en ese sentido.
La última fue hace muy poco, OS X 10.10.5 que corrige un montón de fallos de seguridad y tal como os adelantamos en Applesana, sigue siendo vulnerable.
