Hace poco más de mes un investigador de seguridad, Filippo Cavallarin, anunció que había encontrado una vulnerabilidad en macOS que posibilitaba sobrepasar a Gatekeeper, la herramienta que Apple desarrolló para "para garantizar que en tu Mac solo se ejecute software de confianza", en palabras de la compañía de Cupertino. Con Gatekeeper el sistema puede asegurar que el equipo solo ejecute aplicaciones de la App Store o, a elección del usuario, aplicaciones de la App Store y de fuera de ella, pero de desarrolladores identificados.
Ahora, la noticia es que tras el anuncio de Cavallarin, una compañía de adware ha logrado explotar la vulnerabilidad y eludir la seguridad de Gatekeeper. El problema para el investigador italiano es que Gatekeeper considera seguros los discos externos y los directorios de red, por lo que una aplicación con autorización de Gatekeeper que lograra abrir una ubicación de red daría permiso a que apps maliciosas contenidas en ella pudieran ejecutarse sin control por parte de macOS.
Una vulnerabilidad fácil de aprovechar con imágenes .iso y .dmg
La firma de seguridad Intego ha sido quien ha descubierto cómo estaban aprovechándose de la vulnerabilidad, aunque en principio, en una etapa de pruebas (algo de lo que sospechan al ver que de momento solo se estaban creando archivos temporales inocuos) para ver que hasta qué punto podían hacer uso de ello en malware. El grupo de adware, según se ha descubierto, estaban investigando cómo explotar la seguridad del sistema con imágenes de disco, .iso y .dmg.
Las segundas son las más populares para proporcionar instaladores y aplicaciones completas en macOS, y en ambos casos observaron que las imágenes enlazaban a una aplicación contenida en un servidor NFS. Como Cavallarin había demostrado, al proceder de un directorio de red, esa aplicación no haría saltar las alarmas del sistema.
Algo que sonará a muchos lectores es que las aplicaciones contenidas en las imágenes de discos eran instaladores falsos de Adobe Flash Player, que es habitual que se utilicen para engañar a usuarios con anuncios que indican que debes instalar una nueva versión de Flash para navegar correctamente.
La particularidad de este caso es que han descubierto que una de las imágenes está firmada por una ID de desarrollador de Apple (que ha sido utilizada muchas veces en los últimos tres meses, y asosiacada con Surfbuyer, uno de los adware que llevan tiempo instalando publicidad en la plataforma para aparecer en Safari). Intego ha denunciado el ID de desarrollador a Apple para que lo revoquen y no haya problema en que el sistema dé por buenas estas aplicaciones.
El problema y origen de todo es que Apple no ha comunicado haber corregido la vulnerabilidad en Gatekeeper (o desmentir que hubiera riesgo), pese a que Cavallarin lo comunicó 90 días antes de hacerlo público. Por una parte, macOS 10.15 Catalina refuerza ese apartado, pues el sistema sólo permitirá ejecutar aplicaciones firmadas y, a diferencia de sistemas anteriores, aquellas que hayan sido autorizadas. Por otra, en Genbeta también contamos otra vulnerabilidad relacionada con la seguridad de macOS, incluso más reciente, de la que tampoco hemos tenido más noticias desde Cupertino.
Vía | 9to5Mac
Ver 5 comentarios