El defecto aprovecha la función de automatización de eventos sintéticos de los sistemas operativos
La falla fue revelada por el destacado investigador de seguridad de Apple Patrick Wardle en la conferencia de seguridad de Object by the Sea en Mónaco durante el fin de semana.
Los clics sintéticos aprueban de manera efectiva las acciones del sistema operativo sin la intervención del usuario. Aprovechan los "eventos sintéticos", una función de automatización de macOS diseñada para mejorar la accesibilidad que permite a las aplicaciones automatizar entradas como los clics del mouse y las pulsaciones de teclas. Los eventos sintéticos se pueden invocar a través del marco de Core Graphics de Mac o AppleScript.
La función solo puede ser utilizada por las aplicaciones aprobadas por Apple para evitar su adopción por parte de los creadores de malware.
No es la primera vez que los creadores de malware explotan los eventos sintéticos en macOS. Wardle ha revelado previamente una serie de fallas que afectan a la función, mientras que Apple ha introducido algunas medidas para prevenir el abuso.
Sin embargo, Wardle afirma haber encontrado una nueva falla de seguridad crítica en macOS Mojave que permite que el malware "haga clic" virtualmente en el indicador de seguridad incorporado para nuevas aplicaciones sin la interacción del usuario.
Según Hacker News, "hay un error de validación en la forma en que macOS verifica la integridad de las aplicaciones incluidas en la lista blanca. El sistema operativo verifica la existencia del certificado digital de una aplicación, pero no valida si la aplicación ha sido manipulada".
Wardle le dijo a Hacker News : "El sistema intenta verificar / validar que estas aplicaciones permitidas en la lista blanca no han sido subvertidas, pero su verificación es defectuosa, lo que significa que un atacante puede subvertir cualquiera de estas y agregar / inyectar código para realizar clics sintéticos arbitrarios. - por ejemplo, para interactuar con las alertas de seguridad / privacidad en Mojave para acceder a la ubicación del usuario, el micrófono, la cámara web, las fotos, los registros de llamadas / SMS ".
Las aplicaciones incluidas en la lista blanca, agregó, "no tienen que estar presentes en el sistema. El atacante podría traer una de las aplicaciones incluidas en la lista blanca al sistema (tal vez pre-subvertida) y ejecutarla en segundo plano, para generar clics".
Wardle demostró la falla de seguridad recientemente descubierta en el evento durante el fin de semana, abusando del ampliamente utilizado VLC Player, una aplicación aprobada por Apple, para aprobar el malware como un complemento no firmado, usando clics sintéticos para instalar automáticamente el malware sin la intervención del usuario.
Sin embargo, agregó Wardle, un atacante ya tendría que tener algún tipo de acceso remoto a una Mac específica para iniciar el proceso. Los hallazgos de la investigación de Wardle fueron reportados a Apple la semana pasada
Fecha actualización el 2021-06-04. Fecha publicación el 2019-06-04. Categoría: mac Autor: Oscar olg Mapa del sitio Fuente: theinquirer Version movil