miércoles, 1 de julio de 2020

Falla día cero en Apple Mac permite que una app falsa de Safari se ejecute con acceso de administrador

El lanzamiento del programa de recompensas de Apple permitió que la comunidad de la ciberseguridad trabajara en conjunto con la compañía para corregir múltiples fallas de seguridad que podrían haber comprometido a los usuarios de esta tecnología a cambio de importantes sumas de dinero, mencionan expertos en seguridad de aplicaciones.

Uno de los reportes más importantes que ha recibido la compañía a través de este programa se refiere a una falla día cero que podía ser explotada por actores de amenazas para acceder a los archivos privados de los usuarios almacenados en el navegador Safari, lo que incluso afectaría a la versión beta de macOS Big Sur. El reporte fue presentado por el investigador Jeff Johnson.

El ataque requiere de engañar a un usuario de dispositivos Apple para que descargue un archivo aparentemente inofensivo desde un sitio malicioso que será empleado por los hackers para crear una copia de la aplicación de Safari; lo más peligroso es que el sistema macOS no podría distinguir entre la versión legítima y la copia del navegador.

A consecuencia del ataque, cualquier archivo al que el navegador Safari pueda acceder también se vuelve accesible para los cibercriminales, mencionan los expertos en seguridad de aplicaciones. Después de completar el ataque, los hackers pueden automatizar algunas tareas, incluyendo el envío de los documentos expuestos a los servidores maliciosos.   

Esta falla existe debido a que Transparencia, Consentimiento y Control (TCC), el sistema de Apple para la protección de la privacidad, permite algunas excepciones que sólo requieren verificar el identificador de una aplicación, lo que significa que solamente se lleva a cabo un control de seguridad superficial. La vulnerabilidad afecta a las versiones Mojave, Catalina y Big Sur de macOS.    

A pesar de que la falla fue reportada en diciembre de 2019 y de que la compañía contactó al investigador para informarle que se lanzaría un parche de seguridad, Johnson asegura que Apple no ha enviado el pago correspondiente al reporte ni ha lanzado las actualizaciones para corregir estas fallas: “Ya han pasado más de 90 días, periodo de divulgación razonable, y Apple no parece tener intenciones de corregir esta falla y pagar la recompensa”, menciona el investigador.

Son muchos los hackers éticos y expertos en seguridad de aplicaciones que se han quejado de la lentitud del Programa de Recompensas de Apple, esto también significa que la compañía demora demasiado tiempo en corregir las fallas reportadas a través de este programa de colaboración con la comunidad de la ciberseguridad.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Falla día cero en Apple Mac permite que una app falsa de Safari se ejecute con acceso de administrador apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario