Apple resolve un fallo de seguridade de 11 anos en macOS

MacOS

Na actualidade estamos moi acostumados a que saen á luz practicamente todos os días fallos de seguridade que, ben foron detectados a tempo polas diferentes firmas dedicadas profesionalmente a isto ou ben explotan de face a diferentes empresas, comprometendo incidentalmente os datos. de millóns de usuarios que usan estes servizos todos os días e ven como funcionan os identificadores e datos persoais véndense ao mellor postor de internet profundo.

Esta vez temos que falar de Apple, unha empresa cuxos produtos sempre foron entendidos como seguros por algúns usuarios ou máis ben como "pouco interesante'para os demais. Digo isto de pouco interese porque o número de usuarios que hai 10 anos usaban un ordenador Apple era practicamente insignificante en comparación cos usuarios que usaban outros sistemas operativos nese momento, por exemplo Windows ou Linux, algo que fixo que a xente que tende a tomar a vantaxe deste tipo de fallos normalmente aposta por atacar este tipo de sistema operativo xa que o impacto do seu software será moito maior.

Sinatura de Apple

O problema detectado non é típico de macOS senón da documentación proporcionada pola propia Apple

Entrando un pouco máis en detalles, debemos centrarnos nun problema que está presente desde hai máis de 11 anos no sistema operativo macOS, que é moito máis grave do que podes imaxinar xa que calquera tipo de aplicación maliciosa podería aproveite este burato de seguridade para aparecer como asinado por Apple. Isto significa que, ao intentar abrilo, non desencadea Gatekeeper, o sistema de seguridade instalado por defecto no sistema operativo e responsable da execución de aplicacións de terceiros non verificadas por Apple.

Teña en conta que Gatekeeper non só estaba en funcionamento, senón que os sistemas antivirus desenvolvidos especificamente para detectar malware no sistema operativo desenvolvido por Apple tampouco deron a voz de alarma, xa que estas aplicacións, a pesar de non ter pasado o control de Apple pasaron totalmente desapercibidos porque, claramente, parecía estar asinado pola empresa norteamericana, o que fixo que estivesen verificados e libres de posibles fallos de seguridade que puidesen comprometer o rendemento e seguridade do equipo.

IOS 11 GM filtrou todos os datos

A pesar de non haber ningún anuncio oficial ao respecto, Apple actualizou toda a documentación dispoñible para os desenvolvedores

Para comprender un pouco mellor este problema, dígolle que cando unha aplicación pasa as comprobacións de seguridade de Apple e consegue que a empresa o asine dixitalmente, o sistema operativo introdúceo nun tipo de lista branca de aplicacións verificadas pola empresa que cumpren os estándares do propio sistema. Neste punto, parece que o verdadeiro problema que residía en macOS non era o sistema operativo en si, senón a documentación que os desenvolvedores tiñan para asinar aplicacións por parte de Apple.

Baseado nas declaracións de Patrick Wardle, un dos desenvolvedores que logrou descubrir este perigoso fallo de seguridade en macOS:

Segundo os investigadores, o mecanismo que moitas ferramentas de seguridade de macOS utilizaron desde 2007 para verificar as sinaturas dixitais foi trivial. Como resultado, foi posible que alguén pasase código malicioso como unha aplicación que se asinou coa clave que Apple usa para asinar as súas aplicacións.

Para quedar claro, non se trata dunha vulnerabilidade nin dun erro no código de Apple ... basicamente é culpa dunha documentación pouco clara e confusa que levou á xente a usar mal a súa API.

Ao parecer, Apple levaba tempo traballando sobre como solucionar este problema, que parece que xa se reparou se temos en conta que a empresa actualizou por completo a documentación dispoñible para os desenvolvedores, rematando así cun problema de seguridade moi crítico que tiveron todos os usuarios de macOS durante, máis ou menos, uns 11 anos.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.