Software

Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic

Detectan una vulnerabilidad del tipo 0-day en los Apple macOS, que permite crear clics falsos para el proceso de validación para acceder a información privada.

Uno de los grandes lemas de Apple es que sus productos ofrecen una gran seguridad a los usuarios. La compañía siempre que puede habla de la seguridad de sus dispositivos gracias al hardware y al software que utilizan. En los equipos Mac cuando se quiere acceder a información privada, lanza una ventana emergente que requiere de la aceptación del usuario. Solo si el usuario acepta, el sistema puede revelar los datos privados. Un investigador de seguridad ha demostrado como se pueden crear clics ‘artificiales’ que se saltan la protección.

Importante brecha de seguridad en todos los equipos de Apple

La actualización macOS Mojave amplio sus protecciones para evitar que se pudieran generar clics ‘sintéticos’. Se necesita en teoría que el usuario realice clic de manera física. Hay una lista de aplicaciones que han sido verificadas que permiten crear estos clics y que permiten explotar la vulnerabilidad.

Esta lista de aplicaciones no ha sido documentada y pueden generar clics falsos para evitar dejar de funcionar. Las aplicaciones deben estar firmadas mediante un certificado digital para validar su autenticidad. Esto debería prevenir la ejecución de estas aplicaciones en el caso de que se hayan modificado para incluir malware. El bug de código en macOS solo verifica si el certificado ha sido firmado, no comprueba una posible manipulación de la aplicación.

Un VLC malicioso consigue saltarse la seguridad

Posiblemente VLC es uno de los reproductores multimedia más populares de la actualidad. El software es gratuito y es de tipo Open Source, de ahí su gran popularidad. Patrick Wardle, un hacker que trabajo para la NSA y la NASA, ahora trabaja en descubrir vulnerabilidades 0-day en Mac. Mediante VLC ha conseguido inyectar un plugin malicioso dentro de macOS.

Wardle ha explicado: “para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un clic sintético – lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi clic sintético puede acceder a la ubicación, cámara o micrófono del usuario”

Esto permite que un atacante malicioso pueda manipular cualquier aplicación dentro de la lista blanca para crear los clics ratificaciones. Así tiene acceso a datos privados del usuario, como son contactos, calendario, mensajes, geolocalización y acceder a elementos como la webcam o el micrófono.

La pasada semana Wardle informo a Apple de la vulnerabilidad. La compañía aún no ha publicado un parche de seguridad que corrija el problema.

Fuente: TC

Mostrar más

Roberto Solé

Director de Contenidos y Redacción de esta misma web, técnico en sistemas de generación de energía renovables y técnico electricista de baja tensión. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mi smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar

Bloqueador de anuncios detectado

Este sitio se financia mediante el uso de publicidad, miramos en todo momento que la misma no sea demasiado intrusiva para el lector y priorizamos la experiencia del mismo en la web. Pero si bloquea los anuncios, parte de nuestra financiación se verá mermada.