O Mojave, mais novo sistema operacional da Apple para computadores Macintosh – sejam da linha notebook ou desktop – tem um zero day, uma falha gravíssima descoberta pelo pesquisador independente Linus Henze (@Linushenze), que mora na Alemanha. Pior, a falha existe também em versões anteriores do macOS. Henze publicou a existência da falha no Twitter ontem, junto com um vídeo exibindo sua POC (prova de conceito), sem qualquer aviso à Apple. A comunidade de segurança estranhou, mas Henze informou que não avisou simplesmente porque a Apple não tem um programa de bug bounty (premiação para quem achar bugs) para o seu software.
A falha é a seguinte: o Mojave pode ser explorado com o roubo de senhas em texto aberto no Keychain. No vídeo que publicou sobre a falha, Henze mostra como usar malware para extrair senhas do Keychain, o sistema local de gerenciamento de senhas do Mac. O ataque foi feito em um sistema que executa a versão mais recente do MacOS Mojave (10.14.3).
[box type=”info” size=”small” border=”full”]O macOS Mojave é o 15o lançamento do macOS, o sistema operacional de desktop da Apple para computadores Macintosh. Ele é o sucessor do macOS High Sierra e foi anunciado em 4 de junho de 2018, sendo lançado para o público em 24 de setembro de 2018 – menos de cinco meses atrás.[/box]
O ataque é sorrateiro porque não exige privilégios de administrador para o aplicativo malicioso nem para a conta do usuário. O especialista disse que o código malicioso poderia explorar a falha para roubar senhas apenas do Keychain do usuário, porque os outros estão bloqueados.
Segundo o especialista Pierluigi Paganini, a Apple fez contato com Henze mas ele se recusou a revelar de que forma conseguiu invadir a máquina porque não receberá nenhum pagamento pelo trabalho.
Veja no vídeo de Henze a prova de conceito com o roubo de senhas.
Veja o Tweet de Henze:
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
While his vulnerability is patched now, I’ve found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple— Linus Henze (@LinusHenze) 3 de fevereiro de 2019