El hacker Linus Henze ha descubierto un exploit de día cero que permite la extracción de todas las contraseñas de llavero en macOS Mojave; sin embargo, dice que la vulnerabilidad no será revelada a Apple hasta que la compañía lance un programa de recompensas de errores de macOS.
El exploit fue demostrado en un video publicado en YouTube.
En este video, te mostraré un exploit de 0 días que me permite extraer todas tus contraseñas de llavero (locales) en macOS Mojave (y versiones inferiores). Sin privilegios de administrador o raíz y sin solicitudes de contraseña, por supuesto.
Henze señala que esta no es la primera vez que se encuentra este tipo de exploit.
Es posible que recuerde KeychainStealer de @patrickwardle, lanzado en 2017 para macOS High Sierra, que también puede robar todas sus contraseñas de llavero. Si bien la vulnerabilidad que usó ya está parcheada, la que encontré aún funciona, incluso en macOS Mojave.
El hacker espera que su video obligue a Apple a lanzar un programa de recompensas de errores para macOS.
No liberaré esto. La razón es simple: Apple todavía no tiene un programa de recompensas de errores (para macOS), así que culpe a ellos. ... Tal vez esto obliga a Apple a abrir un programa de recompensas de errores en algún momento.
Echa un vistazo al siguiente video …
No hay comentarios:
Publicar un comentario