Vulnerabilidad en macOS Mojave permite acceso a archivos protegidos

La falla permite esquivar medidas de privacidad

Un experto en ciberseguridad y hacking ético pudo demostrar que las últimas implementaciones de protección de privacidad de Apple en macOS no son lo suficientemente fuertes, justo el día del lanzamiento de la última versión de Mojave. Patrick Wardle mostró que la seguridad en macOS puede omitirse para acceder a datos confidenciales del usuario, como la información en la libreta de direcciones.

Implementación defectuosa del nuevo mecanismo de seguridad

Patrick Wardle menciona que pudo acceder a los contactos de usuario confidenciales a través de una aplicación sin privilegios, lo que significa que no se ejecutó con permisos de administrador. El experto en hacking ético dice que la vulnerabilidad día cero se deriva de la forma en que Apple implementó las protecciones para varios datos relacionados con la privacidad.

“Encontré una falla trivial, aunque 100% confiable en su implementación”, mencionó Wardle, agregando que esta vulnerabilidad permite que una aplicación maliciosa o no confiable omita el nuevo mecanismo de seguridad y acceda a los detalles confidenciales sin autorización.

Wardle dice que la vulnerabilidad encontrada no trabaja con todas las nuevas funciones de protección de privacidad de Mojave, y los componentes basados en hardware como la cámara web no se ven afectados por esta falla.

El experto en hacking ético decidió reservarse los detalles técnicos de su investigación hasta su participación en un evento relacionado con la ciberseguridad. En una prueba posterior, Wardle intentó copiar el contenido de la libreta de direcciones y niega la operación cuando el sistema operativo solicita permiso. A continuación, ejecuta una aplicación sin privilegios que le permite copiar los datos de la libreta de direcciones en el escritorio y proporciona acceso a las pocas entradas que agregó con fines de demostración.

Por último, ejecutó una aplicación sin privilegios que le permitió copiar los datos de la libreta de direcciones en el escritorio

Protección de datos del usuario en macOS Mojave

Como parte de las nuevas medidas de protección de datos de usuario en macOS Mojave, los usuarios deben proporcionar su consentimiento explícitamente para acceder su ubicación, contactos, calendarios, recordatorios, fotos y otros archivos e información privada.

Esto significa que las aplicaciones ya no pueden hacer esto de forma automática al simular la interacción humana con el dispositivo (también conocidos como clics sintéticos) usando las API prescritas. Cualquier acceso de este tipo ahora está bloqueado en el más reciente sistema operativo de Apple, y se activa un aviso de autorización para la interacción directa del usuario.

Para reducir la molestia generada por los avisos de autorización, Apple incluyó una función de pre autorización para las aplicaciones que el usuario desee utilizar.

Como reportan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, esta configuración se puede realizar en el panel Preferencias del Sistema, Seguridad y Privacidad.