WWDC2022-2023 no es la única noticia seria en los escritorios de los ingenieros de Apple esta mañana.
Si se explota correctamente, una aplicación maliciosa podría engañar a su MacBook, o cualquier tipo de Mac actual, haciéndole creer que es usted y hacer lo que quiera. El investigador de seguridad Patrick Wardle, director de investigación de Digita Security, reveló una laguna de seguridad de macOS ayer (2 de junio) en una conferencia en Mónaco denominada Objective by the Sea.
Desafortunadamente, Apple aún no ha solucionado esta falla, y Wardle se lo contó a la compañía la semana pasada. Para protegerse, debe tener mucho cuidado con las aplicaciones que descarga directamente de Internet. En su lugar, sería mejor atenerse a la Mac App Store oficial.
Clics fantasma
El problema, según Wardle, es que Apple permite que un puñado de aplicaciones heredadas (en su mayoría versiones más antiguas de aplicaciones actuales como el popular reproductor multimedia VLC) continúen usando "clics sintéticos", una característica que había permitido que las aplicaciones superaran los últimos obstáculos de seguridad de Apple. imitando a un usuario autorizado cuyo permiso se necesita para permitir ciertas acciones.
Según EclecticLight.co, la lista de aplicaciones heredadas que Apple ha incluido en la lista blanca para poder usar clics sintéticos incluye versiones antiguas de Steam, VLC, Sonos Mac Controller y Logitech Manager.
Después de que Wardle y otros investigadores mostraron el verano pasado cómo los clics sintéticos podrían usarse para atacar Mac, Apple cerró la puerta a la función con macOS Mojave. Pero para permitir que las aplicaciones heredadas continúen funcionando (Wardle había advertido que eliminar los clics sintéticos por completo "rompería muchas aplicaciones legítimas"), esas aplicaciones más antiguas obtuvieron una exención.
"Es frustrante como investigador encontrar continuamente formas de eludir las protecciones de Apple", dijo Wardle a Threatpost. "Sería ingenuo pensar que no hay otros hackers o adversarios sofisticados que también hayan encontrado agujeros similares en las defensas de Apple".
Sin revisar las cámaras
Apple tiene otra salvaguardia. Solo permite que las aplicaciones incluidas en una lista blanca de Apple utilicen clics sintéticos, ya sea que esas aplicaciones sean heredadas o no. El problema es que el proceso de verificación es profundamente defectuoso.
MacOS solo verifica las aplicaciones verificando sus firmas digitales, y no verificando realmente el código dentro de esas aplicaciones o asegurándose de que no carguen código adicional después de que comiencen a ejecutarse. Ayer, Wardle demostró que sus preocupaciones eran válidas al inyectar un complemento malicioso en VLC, uno que podría realizar clics sintéticos (acciones de usuario falsas) que Apple generalmente bloquea en las aplicaciones.
Imagine un agente de seguridad de la TSA que solo verifica su identificación y no desliza su equipaje por la bandeja de escaneo. Ese es el problema aquí.
"La forma en que implementaron este nuevo mecanismo de seguridad, está 100 por ciento roto", dijo Wardle a Wired. "Puedo pasar por alto todas estas nuevas medidas de privacidad de Mojave".
Engañando al usuario
No es difícil engañar a los usuarios para que instalen aplicaciones que han sido dañadas y armadas contra el usuario. Un ejemplo importante de esto sucedió en la vida real en marzo de 2016 con el popular cliente de BitTorrent Transmission.
Es posible que un atacante ni siquiera necesite engañar a nadie. En 2016, Wardle mostró cómo una actualización corrupta del software legítimo que el usuario ya había instalado, en este ejemplo, Kaspersky Internet Security para Mac, podía eludir todos los mecanismos de seguridad de Apple para infectar una Mac.
Prácticas de seguridad descuidadas
La última charla de Wardle ha sido informada por varios medios, incluido The Register.
¿Cómo pasó esto? Wardle le dijo a The Register que "si cualquier investigador de seguridad o alguien en Apple con una mentalidad de seguridad hubiera auditado este código, lo habrían notado. Una vez que vea este error, es trivial".
"No están auditando el código", agregó. "Están implementando estas nuevas características de seguridad, pero la realidad es que a menudo se implementan de manera incorrecta".
- Por qué la WWDC marcará el comienzo de una nueva era para Apple