Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic
Detectan una vulnerabilidad del tipo 0-day en los Apple macOS, que permite crear clics falsos para el proceso de validación para acceder a información privada.
Uno de los grandes lemas de Apple es que sus productos ofrecen una gran seguridad a los usuarios. La compañía siempre que puede habla de la seguridad de sus dispositivos gracias al hardware y al software que utilizan. En los equipos Mac cuando se quiere acceder a información privada, lanza una ventana emergente que requiere de la aceptación del usuario. Solo si el usuario acepta, el sistema puede revelar los datos privados. Un investigador de seguridad ha demostrado como se pueden crear clics ‘artificiales’ que se saltan la protección.
Importante brecha de seguridad en todos los equipos de Apple
La actualización macOS Mojave amplio sus protecciones para evitar que se pudieran generar clics ‘sintéticos’. Se necesita en teoría que el usuario realice clic de manera física. Hay una lista de aplicaciones que han sido verificadas que permiten crear estos clics y que permiten explotar la vulnerabilidad.
Esta lista de aplicaciones no ha sido documentada y pueden generar clics falsos para evitar dejar de funcionar. Las aplicaciones deben estar firmadas mediante un certificado digital para validar su autenticidad. Esto debería prevenir la ejecución de estas aplicaciones en el caso de que se hayan modificado para incluir malware. El bug de código en macOS solo verifica si el certificado ha sido firmado, no comprueba una posible manipulación de la aplicación.
Un VLC malicioso consigue saltarse la seguridad
Posiblemente VLC es uno de los reproductores multimedia más populares de la actualidad. El software es gratuito y es de tipo Open Source, de ahí su gran popularidad. Patrick Wardle, un hacker que trabajo para la NSA y la NASA, ahora trabaja en descubrir vulnerabilidades 0-day en Mac. Mediante VLC ha conseguido inyectar un plugin malicioso dentro de macOS.
Wardle ha explicado: “para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un clic sintético – lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi clic sintético puede acceder a la ubicación, cámara o micrófono del usuario”
Esto permite que un atacante malicioso pueda manipular cualquier aplicación dentro de la lista blanca para crear los clics ratificaciones. Así tiene acceso a datos privados del usuario, como son contactos, calendario, mensajes, geolocalización y acceder a elementos como la webcam o el micrófono.
La pasada semana Wardle informo a Apple de la vulnerabilidad. La compañía aún no ha publicado un parche de seguridad que corrija el problema.
Fuente: TC