Justo tras el lanzamiento de macOS High Sierra durante el día de ayer, un nuevo fallo de seguridad ha sido publicado. Gracias a una vulnerabilidad del sistema, las aplicaciones de terceros pueden acceder a todas las contraseñas de usuario de un Mac sin necesidad de saber la contraseña maestra. De momento Apple no ha lanzado ninguna actualización que corrija el error.

El investigador de seguridad y ex-analista de la NSA Patrick Wardle ha sacado a la luz este error y nos muestra en un vídeo cómo funciona exactamente:

El primer paso del proceso es descargar un software malicioso, algo que en principio no deberíamos hacer nunca, pues Apple nos desaconseja siempre que queramos descargar o ejecutar código desconocido. De hecho ni siquiera podremos ejecutarlo a no ser que le demos permisos especiales. Tras esto la app ejecutada accede al llavero de iCloud en macOS. A este llavero en principio nadie puede acceder aparte de nosotros con la contraseña maestra.

Patrick Wardle no ha publicado el código malicioso al completo para evitar que se haga un uso inadecuado del mismo. Seguramente en los próximos días Apple publique una actualización menor de macOS High Sierra solucionando el problema.

Ante casos así no tiene porqué cundir el pánico, estamos ante una vulnerabilidad del sistema, sí, pero fácilmente evitable. Como siempre se ha aconsejado, lo mejor es no descargar nunca aplicaciones pirata y hacerlo desde la App Store o de desarrolladores verificados. Con un poco de cautela y …