Nos hacemos eco de una nueva vulnerabilidad crítica de Zero-Day que afecta a macOS. Se trata de un problema que podría permitir a un posible atacante controlar una aplicación dentro de la lista de aplicaciones de confianza del sistema. De esta forma podría generar clics falsos. Esto lo consigue al saltarse las advertencias de seguridad y tener vía libre para comprometer el sistema.
Esta vulnerabilidad crítica de Zero-Day permite clics invisibles en macOS
Esta nueva vulnerabilidad de Zero-Day que afecta a macOS ha sido descubierta por Patrick Wardle, un investigador de seguridad que ya ha descubierto varias amenazas para este sistema operativo. De una de ellas nos hicimos eco hace unos meses cuando descubrió que a través de clics invisibles el malware podría imitar la acción del usuario. Esto es lo que hace ahora esta vulnerabilidad.
Una vez más ha descubierto la manera de evitar las protecciones de seguridad y desplegar sus amenazas para acceder a los datos del usuario. Esta vez lo logra con lo que ha denominado Synthetic Click, o clics invisibles. Se ha presentado esta vulnerabilidad en la conferencia Objective By The Sea.
Este fallo está presente en el código de Apple que tiene como fin comprobar la existencia de certificado. Sin embargo no comprueba si esa aplicación supuestamente de confianza lo es realmente o no. MacOS tiene una función para ejecutar clics invisibles, sin interacción del usuario. Sin embargo está diseñado para que personas con discapacidad puedan usarlo.
La cuestión es que, como podemos imaginar, de manera predeterminada únicamente las aplicaciones aprobadas por Apple pueden funcionar así. Es decir, cuentan con una especie de lista blanca donde están los programas legítimos y que han sido aprobados para funcionar con clics invisibles o sintéticos. El problema es que, a través de esta vulnerabilidad descubierta por Wardle, un software malicioso puede abusar de esta función.
Un problema que permite usar programas maliciosos sin intervención de la víctima
Sin duda es un problema serio ya que abre la puerta a la posibilidad de que los ciberdelincuentes interactúen con el sistema mediante clics invisibles que no han sido dados por los usuarios. Lo que harían es hacer clic en las advertencias de seguridad como si fuera el usuario.
El investigador de seguridad hizo la prueba a través del popular programa para reproducir vídeos VLC. Aquí utilizó un complemento malicioso que pudo generar un clic invisible en los avisos de seguridad, todo sin el consentimiento del usuario.
Informa que para llevar a cabo el ataque es necesario tener acceso físico al equipo, pero en ningún momento tener privilegios elevados.
Hay que mencionar que al tiempo de escribir este artículo el problema no ha sido solucionado. La vulnerabilidad sigue presente en macOS.
Como siempre mencionamos, es muy importante contar con las últimas actualizaciones del sistema. Es previsible que en poco tiempo haya parches y actualizaciones para solucionar el problema. Por ello conviene siempre tener instaladas las últimas versiones y poder hacer frente a este tipo de amenazas.
También es importante tener software que proteja nuestros sistemas. En un artículo anterior nombramos algunos programas y herramientas de seguridad para macOS.