Hace alrededor de tres meses, un especialista en seguridad de aplicaciones web reportó a Apple una vulnerabilidad que permite a los hackers engañar a un usuario de dispositivos inteligentes para ejecutar aplicaciones maliciosas esquivando la función Gatekeeper. Ahora, se ha reportado que la compañía nunca corrigió la vulnerabilidad.
Gatekeeper es un mecanismo de Apple para verificar las firmas de código y la descarga de aplicaciones; cuando un usuario descarga una aplicación desde plataformas no oficiales, Gatekeeper se activa e impide la ejecución de la aplicación, pues el usuario primero deberá expresar su consentimiento para instalar y ejecutar software de origen desconocido.
Los expertos en seguridad de aplicaciones web que reportaron la vulnerabilidad mencionan que es posible esquivar la habilitación de Gatekeeper para ejecutar código de origen desconocido en macOS versión 10.14.5 y anteriores sin permiso del usuario. “Apple nos aseguró que la vulnerabilidad sería corregida antes del 15 de mayo, aunque la falla sigue activa”, mencionan los especialistas. Debido a que se ha cumplido el plazo de 90 días para que la compañía corrigiera la falla, los especialistas decidieron publicar su informe.
La vulnerabilidad existe debido a que Gatekeeper considera que las unidades de almacenamiento externo y los recursos compartidos de redes son ubicaciones seguras, permitiendo que una app alojada de estas formas sea ejecutada. Al combinar este hecho con la función de montaje automático para montar un recurso compartido de red utilizando una ruta “especial”, la vulnerabilidad puede ser explotada por un actor de amenazas con los conocimientos suficientes.
Los expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) consideran que son muchos los usuarios de equipos Apple expuestos a esta vulnerabilidad, pues la más reciente versión del sistema operativo macOS fue lanzada apenas hace algunos días, por lo que es posible que los usuarios estén ejecutando versiones pasadas del sistema.
Debido a que la compañía no ha corregido esta falla, sólo queda a los usuarios buscar una solución alternativa para mitigar los riesgos. Los expertos que reportaron la falla mencionan que si bien existe una posible solución temporal, ésta no se encuentra al alcance de los usuarios sin conocimientos técnicos sobre el sistema operativo de Apple.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad