FORO DE VIGILANTES DE SEGURIDAD Y NOTICIAS
REGISTRATE Y CONECTATE AL FORO Y PODRAS VER Y DESCARGAR MUCHOS CONTENIDOS QUE EN EL SE ENCUENTRAN Y QUE AHORA NO PUEDES VER.

SIN REGISTRARTE NO PUEDES VER LOS MENSAJES. REGISTRARTE NO TE LLEVARA NI UN MINUTO.

TAMBIEN PODRAS DESCARGAR.
DOCUMENTOS PARA VIGILANTES, LIBROS GRATIS Y OTROS . INSPECCIONA EL FORO Y BUSCA LAS DESCARGAS.

NO TE LO PIENSES Y PASA A FORMAR PARTE DEL MEJOR FORO DE SEGURIDAD PRIVADA EN ESPAÑA


Academia controlum seguridad
sitio web seguro

NAVEGA CON TOTAL SEGURIDAD, ESTE FORO ES SEGURO.

Canal de youtubesiguenos en Twittersiguenos en facebook



Buscar
Resultados por:
Búsqueda avanzada





CONSEJOS PRACTICOS PARA VIGILANTES DE SEGURIDAD
CALCULADORA




REVISTA FORO DE VIGILANTES
View my Flipboard Magazine.


Comparte
Ir abajo

Imprimir este tema
Valkyria
Valkyria
Administrador
Administrador
Mensajes : 7798
Fecha de inscripción : 15/03/2016
Localización : España

Apple: Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic Empty Apple: Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic

el Lun 03 Jun 2019, 19:44
Apple: Los macOS sufren una vulnerabilidad 0-day que expone los datos privados saltándose la verificación con clic

3 junio 2019

Detectan una vulnerabilidad del tipo 0-day en los Apple macOS, que permite crear clics falsos para el proceso de validación para acceder a información privada.
Uno de los grandes lemas de Apple es que sus productos ofrecen una gran seguridad a los usuarios. La compañía siempre que puede habla de la seguridad de sus dispositivos gracias al hardware y al software que utilizan. En los equipos Mac cuando se quiere acceder a información privada, lanza una ventana emergente que requiere de la aceptación del usuario. Solo si el usuario acepta, el sistema puede revelar los datos privados. Un investigador de seguridad ha demostrado como se pueden crear clics ‘artificiales’ que se saltan la protección.

Importante brecha de seguridad en todos los equipos de Apple

La actualización macOS Mojave amplio sus protecciones para evitar que se pudieran generar clics ‘sintéticos’. Se necesita en teoría que el usuario realice clic de manera física. Hay una lista de aplicaciones que han sido verificadas que permiten crear estos clics y que permiten explotar la vulnerabilidad.

Esta lista de aplicaciones no ha sido documentada y pueden generar clics falsos para evitar dejar de funcionar. Las aplicaciones deben estar firmadas mediante un certificado digital para validar su autenticidad. Esto debería prevenir la ejecución de estas aplicaciones en el caso de que se hayan modificado para incluir malware. El bug de código en macOS solo verifica si el certificado ha sido firmado, no comprueba una posible manipulación de la aplicación.

Un VLC malicioso consigue saltarse la seguridad

Posiblemente VLC es uno de los reproductores multimedia más populares de la actualidad. El software es gratuito y es de tipo Open Source, de ahí su gran popularidad. Patrick Wardle, un hacker que trabajo para la NSA y la NASA, ahora trabaja en descubrir vulnerabilidades 0-day en Mac. Mediante VLC ha conseguido inyectar un plugin malicioso dentro de macOS.

Wardle ha explicado: “para VLC, simplemente añadí un nuevo plugin, VLC lo carga, y como VLC carga plugins, mi plugin malicioso puede generar un clic sintético – lo que está totalmente permitido porque el sistema ve que es VLC pero no valida el paquete para asegurarse de que ha sido manipulado. Y así, mi clic sintético puede acceder a la ubicación, cámara o micrófono del usuario”

Esto permite que un atacante malicioso pueda manipular cualquier aplicación dentro de la lista blanca para crear los clics ratificaciones. Así tiene acceso a datos privados del usuario, como son contactos, calendario, mensajes, geolocalización y acceder a elementos como la webcam o el micrófono.

La pasada semana Wardle informo a Apple de la vulnerabilidad. La compañía aún no ha publicado un parche de seguridad que corrija el problema.

[Tienes que estar registrado y conectado para ver este vínculo]


[Tienes que estar registrado y conectado para ver esa imagen]
Volver arriba
Permisos de este foro:
No puedes responder a temas en este foro.