Solo noticias
MANUAL CURSO DE FORMACION DEL PROFESORADO DE SEGURIDAD PRIVADA
Conéctate para responder
ValkyriaExperto en Seguridad Nivel 10
Premio por estar tantos años con nosotrosPremia la antiguedad en el foroRecompensaRecompensa por la aportación al foroMaxima graduacionAl mejor A la mejor aportación al foro
Mensajes : 10674
Fecha de inscripción : 15/03/2016
Localización : España
Apple: Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic
Lun 03 Jun 2019, 19:44
Apple: Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic
3 junio 2019
Detectan una vulnerabilidad del tipo 0-day en los Apple macOS, que permite crear clics falsos para el proceso de validación para acceder a información privada.
Uno de los grandes lemas de Apple es que sus productos ofrecen una gran seguridad a los usuarios. La compañía siempre que puede habla de la seguridad de sus dispositivos gracias al hardware y al software que utilizan. En los equipos Mac cuando se quiere acceder a información privada, lanza una ventana emergente que requiere de la aceptación del usuario. Solo si el usuario acepta, el sistema puede revelar los datos privados. Un investigador de seguridad ha demostrado como se pueden crear clics ‘artificiales’ que se saltan la protección.
Importante brecha de seguridad en todos los equipos de Apple
La actualización macOS Mojave amplio sus protecciones para evitar que se pudieran generar clics ‘sintéticos’. Se necesita en teoría que el usuario realice clic de manera física. Hay una lista de aplicaciones que han sido verificadas que permiten crear estos clics y que permiten explotar la vulnerabilidad.
Esta lista de aplicaciones no ha sido documentada y pueden generar clics falsos para evitar dejar de funcionar. Las aplicaciones deben estar firmadas mediante un certificado digital para validar su autenticidad. Esto debería prevenir la ejecución de estas aplicaciones en el caso de que se hayan modificado para incluir malware. El bug de código en macOS solo verifica si el certificado ha sido firmado, no comprueba una posible manipulación de la aplicación.
Un VLC malicioso consigue saltarse la seguridad
Posiblemente VLC es uno de los reproductores multimedia más populares de la actualidad. El software es gratuito y es de tipo Open Source, de ahí su gran popularidad. Patrick Wardle, un hacker que trabajo para la NSA y la NASA, ahora trabaja en descubrir vulnerabilidades 0-day en Mac. Mediante VLC ha conseguido inyectar un plugin malicioso dentro de macOS.
Wardle ha explicado: “para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un clic sintético – lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi clic sintético puede acceder a la ubicación, cámara o micrófono del usuario”
Esto permite que un atacante malicioso pueda manipular cualquier aplicación dentro de la lista blanca para crear los clics ratificaciones. Así tiene acceso a datos privados del usuario, como son contactos, calendario, mensajes, geolocalización y acceder a elementos como la webcam o el micrófono.
La pasada semana Wardle informo a Apple de la vulnerabilidad. La compañía aún no ha publicado un parche de seguridad que corrija el problema.
[Tienes que estar registrado y conectado para ver este vínculo]
3 junio 2019
Detectan una vulnerabilidad del tipo 0-day en los Apple macOS, que permite crear clics falsos para el proceso de validación para acceder a información privada.
Uno de los grandes lemas de Apple es que sus productos ofrecen una gran seguridad a los usuarios. La compañía siempre que puede habla de la seguridad de sus dispositivos gracias al hardware y al software que utilizan. En los equipos Mac cuando se quiere acceder a información privada, lanza una ventana emergente que requiere de la aceptación del usuario. Solo si el usuario acepta, el sistema puede revelar los datos privados. Un investigador de seguridad ha demostrado como se pueden crear clics ‘artificiales’ que se saltan la protección.
Importante brecha de seguridad en todos los equipos de Apple
La actualización macOS Mojave amplio sus protecciones para evitar que se pudieran generar clics ‘sintéticos’. Se necesita en teoría que el usuario realice clic de manera física. Hay una lista de aplicaciones que han sido verificadas que permiten crear estos clics y que permiten explotar la vulnerabilidad.
Esta lista de aplicaciones no ha sido documentada y pueden generar clics falsos para evitar dejar de funcionar. Las aplicaciones deben estar firmadas mediante un certificado digital para validar su autenticidad. Esto debería prevenir la ejecución de estas aplicaciones en el caso de que se hayan modificado para incluir malware. El bug de código en macOS solo verifica si el certificado ha sido firmado, no comprueba una posible manipulación de la aplicación.
Un VLC malicioso consigue saltarse la seguridad
Posiblemente VLC es uno de los reproductores multimedia más populares de la actualidad. El software es gratuito y es de tipo Open Source, de ahí su gran popularidad. Patrick Wardle, un hacker que trabajo para la NSA y la NASA, ahora trabaja en descubrir vulnerabilidades 0-day en Mac. Mediante VLC ha conseguido inyectar un plugin malicioso dentro de macOS.
Wardle ha explicado: “para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un clic sintético – lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi clic sintético puede acceder a la ubicación, cámara o micrófono del usuario”
Esto permite que un atacante malicioso pueda manipular cualquier aplicación dentro de la lista blanca para crear los clics ratificaciones. Así tiene acceso a datos privados del usuario, como son contactos, calendario, mensajes, geolocalización y acceder a elementos como la webcam o el micrófono.
La pasada semana Wardle informo a Apple de la vulnerabilidad. La compañía aún no ha publicado un parche de seguridad que corrija el problema.
[Tienes que estar registrado y conectado para ver este vínculo]
- ¿Buscas pareja online? ¡Ten cuidado con las filtraciones de datos privados!
- Protección de Datos investiga a Interior por facilitar la identidad de presos a vigilantes privados
- Los vigilantes privados podrán anotar datos de detenidos, pero no averiguarlos o comprobarlos
- Delincuentes digitales consiguieron los datos privados de 2600 millones de cuentas este 2018
- Curso Windows 8. Reiniciar, apagar, hibernar, suspender o bloquear el PC con un solo clic
Permisos de este foro:
No puedes responder a temas en este foro.