En Mac, cuando una aplicación quiere tener acceso a datos privados del usuario debe pedir permiso a través de una ventana emergente, y solo si hacemos click en "Ok", el sistema se lo concede. Pero, como demostró un investigador recientemente, es posible crear clicks artificiales o "sintéticos" que se salten esa protección.
Lo curioso es que, aunque macOS Mojave expandió sus protecciones justo para evitar que se pudieran crear esos clicks sintéticos y actualmente los bloquea todos requiriendo que el usuario haga click en un botón de forma física, existe una lista blanca de aplicaciones aprobadas que tienen permitido crear esos clicks y que puede ser explotada.
La lista blanca de aplicaciones no está documentada, y esas apps tienen permitido crear clicks sintéticos para no dejar de funcionar. Ahora, aunque las aplicaciones deben están firmadas con un certificado digital que prueba su autenticidad y previene que sean ejecutadas en caso de que hayan sido modificadas para incluir malware, un bug en el código de macOS causa que el sistema solo verifique si el certificado fue firmado, más no verifica si la app ha sido modificada.
Usando una versión manipulada de VLC para acceder a la información privada de un usuario
Una de esas aplicaciones es VLC, que como muchos saben, es un reproductor multimedia gratuito y open source sumamente popular. Fue así cómo Patrick Wardle, un ex hacker de la NSA y de la NASA que ahora se especializa en cazar 0days en Mac, fue capaz de utilizar VLC como vector para inyectar un plugin malicioso en macOS.
Wardle explica que "Para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un click sintético - lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi click sintético puede acceder a la ubicación, cámara o micrófono del usuario".
De esta misma forma, un atacante puede explotar una versión manipulada de cualquier aplicación de la lista blanca para crear los clicks artificiales y obtener acceso a la información privada de los usuarios: contactos, calendario, mensajes, ubicación, y también para encender la cámara web o el micrófono sin que lo sepamos.
Wardle informó a Apple del bug la semana pasada, pero aún no han liberado un parche.
Vía | TechCrunch
Foto de portada | Luis Quintero
