Vulnerabilidad de día cero permite a hackers evadir seguridad en MacOS

Un investigador de seguridad que el año pasado omitió la característica de privacidad macOS de Apple, entonces recién introducida, ha encontrado una vez más una nueva forma de eludir las advertencias de seguridad al realizar "Clics sintéticos" en nombre de los usuarios sin requerir su interacción.
En junio pasado, Apple introdujo una función de seguridad básica en MacOS que obligó a todas las aplicaciones a tomar el permiso ("permitir" o "negar") de los usuarios antes de acceder a datos o componentes confidenciales en el sistema, incluida la cámara o el micrófono del dispositivo, la ubicación Datos, mensajes e historial de navegación.

Para aquellos que no lo saben, los 'clics sintéticos' son clics de mouse invisibles y programáticos generados por un programa de software en lugar de un humano.
MacOS tiene una funcionalidad incorporada para clics sintéticos, pero como una función de accesibilidad para que las personas con discapacidad interactúen con la interfaz del sistema de maneras no tradicionales.

Por lo tanto, la función solo está disponible para las aplicaciones aprobadas por Apple, lo que evita que las aplicaciones maliciosas abusen de estos clics programáticos.
Sin embargo, el investigador de seguridad Patrick Wardle, en ese momento, encontró una falla crítica en macOS que podría haber permitido que las aplicaciones malintencionadas instaladas en un sistema específico virtualmente hicieran "clic" en los botones de aviso de seguridad sin la interacción del usuario o el consentimiento real.

Aunque Apple solucionó el problema después de algunas semanas de la divulgación pública, Wardle ha demostrado una vez más públicamente una nueva forma de evitar que las aplicaciones realicen "clics sintéticos" para acceder a los datos privados de los usuarios sin su permiso explícito.




Wardle le dijo a The Hacker News que en Mojave, hay un error de validación en la forma en que macOS verifica la integridad de las aplicaciones en la lista blanca. El sistema operativo comprueba la existencia del certificado digital de una aplicación, pero no puede validar si la aplicación ha sido manipulada.

"Los intentos del sistema para verificar / validar en estas aplicaciones permitidas en la lista blanca no se han subvertido, pero su comprobación es defectuosa, lo que significa que un atacante puede subvertir cualquiera de estas, y agregar / inyectar código para realizar clics sintéticos arbitrarios, por ejemplo, para interactuar con "Las alertas de seguridad / privacidad en Mojave para acceder a la ubicación del usuario, el micrófono, la cámara web, las fotos, los registros de llamadas / SMS", dijo Wardle a The Hacker News.

Además, "esas aplicaciones [de la lista blanca] no tienen que estar presentes en el sistema. El atacante podría traer una de las aplicaciones de la lista blanca al sistema (tal vez pre-subvertida) y ejecutarla en segundo plano, para generar clics".

Mientras demostraba la vulnerabilidad de día cero en la conferencia de Objective By the Sea en Monte Carlo, Wardle abusó de VLC Player, una de las aplicaciones aprobadas de Apple, para incluir su malware como un complemento no firmado y realizar clics sintéticos en un mensaje de consentimiento programático sin necesidad de ningún interacción del usuario.

Wardle se refiere a la nueva vulnerabilidad de clics sintéticos como un "ataque de segunda etapa", lo que significa que un atacante debería tener acceso remoto a la computadora macOS de la víctima o haber instalado una aplicación maliciosa.

Wardle informó sus hallazgos a Apple la semana pasada y la compañía confirmó haber recibido su informe, pero no aclaró cuándo planea solucionar el problema.