18/06/2015 11h00
Falha expõe senhas de usuários do iOS e do OS X
O Keychain, ferramenta de gerenciamento de senhas dos sistemas da Apple (OS X e iOS), teve uma falha grave descoberta, que permite que aplicativos maliciosos roubem as palavras-chave armazenadas no sistema.
A falha, chamada de “Xara” pelos pesquisadores das universidades de Indiana, Georgia e Peking, utiliza um método que rouba o mecanismo de controle de acesso usado pelo Keychain, permitindo o domínio das senhas e credenciais de sites e aplicativos armazenadas no serviço.
Para provar seu ponto, o grupo de pesquisadores conseguiu criar um aplicativo malicioso e o publicou na App Store sem que ele fosse detectado pela Apple. Depois de instalado pela vítima, era possível atacar outros aplicativos populares, incluindo o Chrome. Por meio da vulnerabilidade, era possível acessar contas do Facebook e do iCloud e vários outros.
A boa notícia é que, aparentemente, só estão suscetíveis ao ataque as novas credenciais após a instalação do aplicativo malicioso. Os pesquisadores indicam que as senhas guardadas anteriormente estão seguras.
Segundo o site The Register, Chromium, navegador de código aberto do Google no qual se baseia o Chrome e o Opera, deve retirar o suporte ao Keychain, por ser incapaz de resolver o problema por conta própria. Não se sabe se o suporte voltará algum dia no futuro.
O grupo de pesquisadores diz ter informado a Apple sobre a falha no dia 15 de outubro de 2014. A companhia pediu 6 meses para corrigi-la, mas tanto o OS X 10.10.3 quanto o 10.10.4 continuam vulneráveis.
Via Ars Technica Com Olhar Digital
