Después de la actualización 10.11.1, no puedo acceder a algunos de los datos cifrados almacenados en mis llaveros con Keychain Access.app . En particular, no puedo ver o copiar las contraseñas almacenadas.
Normalmente, para hacerlo, deberías:
- desbloquear un llavero con la contraseña del llavero;
- desbloquea un elemento con la contraseña del llavero.
Durante el segundo paso, cuando se ingresa la contraseña, puede seleccionar 2 opciones: "Permitir" y "Permitir siempre". La diferencia es que si hace clic en "Permitir siempre", no tendrá que realizar el segundo paso para este elemento nuevamente.
Aquí hay algunas cosas que pude detectar:
- si hubiera hecho clic en "Permitir siempre" en un elemento antes de la actualización de OS X, puedo acceder a él completamente;
- si no he hecho clic en "Permitir siempre", no puedo copiar la contraseña desde el menú del botón derecho, ni verlo cuando se marca la casilla de verificación "Mostrar contraseña" en la pantalla de información.
- si agrego un nuevo elemento, no puedo copiar la contraseña desde el menú del botón derecho, pero aún puedo verlo en la pantalla de información.
Obtengo lo que parecen ser, en su mayoría, datos de llavero completo utilizando el siguiente comando (aunque no estoy seguro de que todo esté allí):
security dump-keychain -d elmigranto.keychain
UPD: Después de más trabajo de detective, encontré el siguiente mensaje que aparece en Console.app cuando hago clic en cualquier cuadro de diálogo de contraseña:
26.10.15 10:19:52,345 SecurityAgent[770]: Ignoring user action since the dialog has received events from an untrusted source
UPD2: Bastante seguro de que esto se debe a HT205375 , que entre otros cambios Enumera lo siguiente:
SecurityAgent
Disponible para: OS X El Capitan 10.11
Impacto: una aplicación malintencionada puede controlar mediante programación las solicitudes de acceso al llavero
Descripción: existía un método para que las aplicaciones crearan clics sintéticos en las solicitudes de llavero. Esto se solucionó desactivando los clics sintéticos para las ventanas de acceso a los llaveros.
ID de CVE
CVE-2015-5943