0-Day en macOS permite a los hackers evadir funciones de seguridad
Un investigador de seguridad que el año pasado burló la característica de privacidad de macOS de Apple, en ese momento recién introducida; ha encontrado una vez más una nueva forma de evitar las advertencias de seguridad al realizar “clics sintéticos” en nombre de los usuarios, sin requerir de su interacción.
En junio pasado, Apple introdujo una función de seguridad básica en MacOS que obliga a todas las aplicaciones a tener el permiso (“permitir” o “negar”) de los usuarios antes de acceder a datos o componentes confidenciales en el sistema, incluida la cámara o el micrófono del dispositivo, la ubicación, mensajes e historial de navegación.
Para aquellos que no lo saben, los ‘clics sintéticos’ son clics de mouse invisibles y programáticos generados por un software en lugar de un humano.
MacOS tiene una funcionalidad incorporada para clics sintéticos, pero la tiene como una función de accesibilidad para que las personas con discapacidad interactúen con la interfaz del sistema de maneras no tradicionales.
Por lo tanto, la función solo está disponible para las aplicaciones aprobadas por Apple, lo que evita que las aplicaciones maliciosas abusen de estos clics programáticos.
Sin embargo, el investigador de seguridad Patrick Wardle, en aquel momento, encontró una falla crítica en macOS que podría haber permitido que las aplicaciones malintencionadas instaladas en un sistema específico, virtualmente hicieran “clic” en los botones de alerta de seguridad sin la interacción del usuario o el consentimiento real.
Aunque Apple solucionó el problema después de algunas semanas de la divulgación pública del fallo, Wardle ha demostrado públicamente una nueva forma para permitir que las aplicaciones realicen “clics sintéticos”, para acceder a los datos privados de los usuarios sin su permiso explícito.
Cómo funciona
Wardle le dijo a The Hacker News que en Mojave, hay un bug de validación en la forma en que macOS verifica la integridad de las aplicaciones en la lista blanca. El sistema operativo comprueba la existencia del certificado digital de una aplicación, pero no puede validar si la aplicación ha sido manipulada.
“Los intentos del sistema para verificar y validar que estas aplicaciones permitidas en la lista blanca no se han alterado, es defectuoso, lo que significa que un atacante puede alterar cualquiera de estas, y agregar o inyectar código para realizar clics sintéticos arbitrarios. Por ejemplo, para interactuar con “Las alertas de seguridad y privacidad en Mojave, para acceder a la ubicación del usuario, el micrófono, la cámara web, las fotos, los registros de llamadas y mensajes”, afirmó Wardle a The Hacker News.
Además, “esas aplicaciones (de la lista blanca) no tienen que estar presentes en el sistema. El atacante podría enviar una de las aplicaciones de la lista blanca al sistema (tal vez pre-alterada) y ejecutarla en segundo plano, para generar clics”.
Mientras demostraba la vulnerabilidad de día cero en la conferencia de Objective By the Sea en Monte Carlo, Wardle alteró VLC Player, una de las aplicaciones aprobadas de Apple; en esta agregó malware como un complemento no firmado para realizar clics sintéticos en un mensaje de consentimiento programático, sin necesidad de ningún interacción del usuario.
Wardle se refiere a la nueva vulnerabilidad de clics sintéticos como un “ataque de segunda etapa”, lo que significa que un atacante debería tener acceso remoto a la computadora macOS de la víctima o haber instalado una aplicación maliciosa.
Wardle ha reportado los hallazgos a Apple la semana pasada y la compañía confirmó haber recibido el informe, pero no aclaró cuándo planea solucionar el problema.