Ataque de día cero permitiría hacer clicks fantasmas en macOS



Si tu mac funciona con la última versión del sistema operativo de MAC llamado HighSierra, puedes ser víctima de este ataque de día cero la cual solo funciona con dos líneas de código. El investigador Patrick Wardle, un ex-hacker de la NSA y ahora Director de Investigación de Data Security, presentó en la Defcon de este año, una vulnerabilidad en la cual un atacante malicioso podría instalar  malware haciendo un click virtual para aceptar la instalación sin necesidad de que el usuario tome alguna acción o consentimiento sobre esta App.

Lo peligroso de esta vulnerabilidad es que cualquier aplicación no confiable puede ser autorizada mediante clicks falsos, estas pueden ser como malware, kernel de terceras partes, keyloggers, conexiones remotas, y lo que se les ocurra que necesite un click como autorización.

Wardle describió su investigación sobre las interacciones "sintéticas" con una interfaz de usuario (UI) como "El ratón es más poderoso que la espada", mostrando un ataque que es capaz de "clics sintéticos": clics programáticos e invisibles del mouse generados por un programa de software en lugar de un humano.

El código macOS en sí ofrece clics sintéticos como una función de accesibilidad para que las personas con discapacidad interactúen con la interfaz del sistema de formas no tradicionales, pero Apple ha puesto algunas limitaciones para evitar que el malware abuse de estos clics programados.

Wardle descubrió accidentalmente que High Sierra interpreta incorrectamente dos eventos consecutivos de mouse "inactivo" como un clic legítimo, permitiendo a los atacantes interactuar mediante programación con advertencias de seguridad, que les pide a los usuarios elegir entre "permitir" o "denegar" y acceder a datos o características confidenciales .

Sin embargo, la próxima versión de MacOS de Apple, Mojave, ya ha mitigado la amenaza al bloquear todos los eventos sintéticos, lo que finalmente reduce el alcance de las funciones de accesibilidad en las aplicaciones que usan legítimamente esta característica.

Fuente:  thehackernews