Los investigadores encuentran vulnerabilidades significativas en …



Los ataques requieren la ejecución de código en un sistema, pero frustran el enfoque de Apple para proteger los datos privados y los archivos del sistema.

BLACK HAT United states 2021 – Las Vegas – Las aplicaciones que pueden ejecutarse en el sistema operativo de Apple, macOS, pueden exceder los permisos otorgados por el usuario y el sistema operativo, lo que permite una variedad de ataques a la privacidad, como obtener información de la libreta de direcciones, tomar capturas de pantalla y obtener acceso a los archivos del sistema, declararon dos investigadores en una sesión informativa de Black Hat Usa el 4 de agosto.

Los investigadores, Csaba Fitzl con Offensive Stability y Wojciech Regula con SecuRing, encontraron más de una veintena de vulnerabilidades y configuraciones inseguras que permitieron al dúo eludir el mecanismo central para proteger la privacidad del usuario: el marco de privacidad de Transparencia, Consentimiento y Handle (TCC) de Apple. . Los investigadores utilizaron complementos maliciosos e inyección de procesos en aplicaciones de terceros, entre otros enfoques, para atacar el demonio TCC y otorgar a su ataque de prueba de concepto permisos completos en el sistema.

Los dos investigadores informaron los problemas a Apple y muchos de ellos se han solucionado. Sin embargo, las debilidades de seguridad no son solo un problema de Apple, sino que también representan problemas que los fabricantes de computer software de terceros deben solucionar, dijo Fitzl de Offensive Safety durante la presentación en Black Hat Usa.

«Hay demasiados binarios de Apple con excepciones para acceder a datos privados, lo que abre la plataforma a abusos», dijo. «Muchas, muchas aplicaciones de terceros son vulnerables a los ataques de inyección, por lo que si esas aplicaciones tienen acceso a recursos privados, esos recursos son vulnerables».

Si bien las vulnerabilidades no se pueden explotar de forma remota por sí mismas, los atacantes han utilizado problemas similares para eludir las protecciones del sistema en datos confidenciales. Al convencer al usuario de que ejecute código en su sistema, las vulnerabilidades pueden explotarse para eludir gran parte de la seguridad de datos integrada en macOS, iOS y tvOS de Apple.

En mayo, Apple solucionó problemas en macOS y tvOS que fueron explotados en la naturaleza, lo que permitió que un programa de malware, conocido como XCSSET, tomara capturas de pantalla y capturara las cookies del navegador Safari sin requerir el permiso del usuario. Eludir los permisos de privacidad en los sistemas operativos de Apple se ha vuelto cada vez más popular, ya que la solicitud de permiso típica al usuario a través de un cuadro de diálogo a menudo le indicará que se está ejecutando un malware en el sistema.

Sin embargo, omitir TCC no es una llave maestra del sistema. El ransomware, por ejemplo, no podrá cifrar los archivos del sistema después de una omisión de TCC el atacante debe hacer más, dijo SecuRing&#39s Regula.

«El ransomware no puede cifrar archivos protegidos por privacidad porque no solo están protegidos contra lectura, sino contra escritura», dijo.

La seguridad para macOS se basa en el marco de protección de integridad del sistema (SIP), que restringe el acceso a muchos de los directorios, incluso de un usuario con privilegios de root. TCC se basa en SIP y proporciona el mecanismo para proteger los datos privados del acceso. Los usuarios interactúan con el TCC cuando usan los controles de privacidad que se encuentran en la pestaña Seguridad y privacidad del panel de regulate de Preferencias del sistema o cuando aparece un cuadro de diálogo de permisos porque una aplicación desea acceder a datos privados o una función privada, como la cámara.

«TCC limita el acceso a ciertos datos, de modo que, por ejemplo, una aplicación maliciosa no puede acceder a su escritorio o su libreta de direcciones», dijo Regula durante la presentación.

Los investigadores descubrieron una variedad de formas de obtener acceso a aplicaciones o funciones que tienen la capacidad de realizar cambios en el TCC y, a través de ese método, realizar sus propios cambios maliciosos en los permisos.

En una cadena de ataque, los investigadores utilizaron un complemento malicioso para macOS Listing Utility, que realiza un seguimiento de la información del directorio de inicio del usuario, NFSHomeDirectory, para inyectar código en el proceso y actualizar la foundation de datos TCC con permisos falsos. En otra cadena de ataque, los investigadores encontraron una variedad de sistemas vulnerables y aplicaciones de terceros con permisos para cambiar la base de datos de TCC y utilizaron la inyección de procesos para cambiar permisos y derechos.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking through, MIT&#39s Technologies Assessment, Well known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial