Para explotar la vulnerabilidad, los atacantes necesitan acceso físico al equipo, además de instalar una aplicación maliciosa
Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una vulnerabilidad en una API de desarrollador que permite que una app maliciosa instalada en macOS Mojave obtenga acceso a una carpeta protegida desde donde un atacante podría extraer la información del historial de navegación de Safari.
La vulnerabilidad afecta todas las versiones conocidas de macOS Mojave y fue reportada a Apple en días recientes por el especialista en seguridad en redes Jeff Johnson.
“Algunas carpetas de Mojave cuentan con acceso restringido”, mencionó el experto. Johnson dice que, de forma predeterminada, Mojave proporciona acceso a esta carpeta solo para algunas aplicaciones del sistema, como Finder. “Sin embargo, existe una forma de esquivar estas protecciones de Mojave y permitir que algunas apps accedan a estas carpetas sin necesidad de los permisos del usuario o del sistema. Una aplicación maliciosa podría comprometer la privacidad del usuario, extrayendo su historial de navegación”.
El experto en seguridad en redes sólo mencionó que la vulnerabilidad consiste en un error en una API de desarrollador; aunque decidió no revelar más detalles, afirma que la vulnerabilidad aún no ha sido corregida. El experto añadió que Apple ya ha sido informada de la situación.
Hasta el momento no se conocen métodos de mitigación de riesgos, aunque la vulnerabilidad sólo es explotable mediante el uso de una aplicación maliciosa ejecutada en el sistema. “No existe una forma de explotación remota”, menciona el experto.
Aunque el experto se rehúsa a compartir mayores detalles, destaca que la vulnerabilidad no tiene que ver con un exploit similar revelado la semana pasada a través de Twitter por el especialista en ciberseguridad Bob Rudis.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
