Una vez más se confirma que la seguridad del sistema operativo de escritorio de los de Cupertino hace aguas en lo referido a seguridad y comienza a ser frecuente que hablemos de él. En esta ocasión, Radoslaw Karpowicz ha descubierto una vulnerabilidad en el sistema de actualizaciones automáticas de las aplicaciones de Mac OS X.
Se trata de un framework que se utiliza en una gran cantidad de aplicaciones y que permite la descarga de la última versión disponible de forma automática. Sin embargo, el proceso de comunicación no resulta del todo correcto y permite la realización de ataques MitM (Man-in-the-Middle) que permiten modificar la información final que recibe el ordenador del usuario. Resulta bastante obvio después de todo lo dicho que existe un cliente por cada aplicación que el usuario tenga instalada y después un servidor que en este caso recibe el nombre de AppCast.
El AppCast solo posee la función de enviar un mensaje a todos los equipos que posean esa aplicación, informando de que el desarrollador ha publicado una nueva versión que ya está disponible para la descarga. El problema llega en este momento, ya que los datos se envían vía XML y utilizando HTTP, por lo que la información no viaja en ningún momento cifrada, dando pie al ataque que hemos mencionado con anterioridad. Coda, iTerm, Facebook Origami, Pixelmator, SequelPro, Tunnelblick o VLC son solo un pequeño listado de aplicaciones que están afectadas por este problema de seguridad.
Modificar el archivo XML recibido por Mac OS X
Teniendo en cuenta que la información viaja desprotegida, un investigador ha conseguido a través del ataque ya mencionado interceptar el XML y modificar su información, introduciendo el código malware que posteriormente será ejecutado por el módulo de actualización de la aplicación. Teniendo en cuenta que este se ejecuta a través de los permisos que posee la aplicación legítima daría pie a la instalación de cualquier código malicioso en el equipo sin ningún tipo de problema y sin que el usuario sea consciente.
El investigador que descubrió este problema fue capaz incluso de asignar una cantidad de memoria mayor al proceso de actualización, permitiendo que el equipo entrase en casi un estado de denegación de servicio. Y es que ante esta circunstancia de nada sirve tener instalada la herramienta GateKeeper o hacer uso de certificados digitales, ya que la amenaza se estaría beneficiando de los permisos que posee la aplicación matriz.
En esta página se puede encontrar información para verificar si cualquier aplicación de Mac OS X es vulnerable a este problema.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad