El especialista destacó que el origen de las vulnerabilidades se encuentra en los “puntos ciegos” del sistema operativo. Para ilustrarlo mejor, hizo referencia a dos de las vulnerabilidades más comunes, la CVE-2021-30657 y la CVE-2021-30853. En realidad, no se trata de fallos técnicos como tal, sino más bien en ciertas lagunas en su lógica que posibilitaban que las aplicaciones llevasen a cabo procesos que no debían desarrollarse.
Dos vulnerabilidades que ponían en jaque la seguridad de macOS hasta hace poco
La importancia de los antivirus en los procesos de análisis
En la CVE-2021-30657, un intruso podría eludir los controles de seguridad de Apple con una práctica tan sencilla como omitiendo un archivo. Patrick descubrió que cuando el archivo info.plist está ausente en algunos tipos de softwares, Apple no activa los procesos de escaneo y, por lo tanto, a no ser que se utilice siempre una buena protección antivirus para Mac, no es capaz de detectar las aplicaciones peligrosas. Según revela, la principal limitación se encuentra en la forma en la que macOS analiza las aplicaciones con scripts. Cuando estas se configuran sin el archivo.plist, la aplicación recurre a herramientas secundarias sin que se lleven a cabo los pertinentes análisis de seguridad.
“Tanto el Finder como el sistema la pueden identificar como una aplicación. No obstante, si falta el archivo info.plist, el sistema no es capaz de detectar ningún problema”, declaró.
Como consecuencia, un malware puede ejecutarse sin llegar a ser detectado por las herramientas y procesos de seguridad estandarizados de Apple.
El período de inicio también se convierte en un punto de vulnerabilidad
Por otro lado, la vulnerabilidad CVE-2021-30853 se produce a partir de la comprobación de las aplicaciones cuando el sistema operativo se inicia.
A partir de esta grieta, un hacker puede intervenir sobre una aplicación a partir de la ruta de scripting para bloquear algunas extensiones de seguridad de Apple. La implementación de variables clave “nulas” impiden que se lleven a cabo las comprobaciones pertinentes que evalúan si una aplicación es segura y está autorizada. Cuando esto se produce, el malware puede no ser identificado y, por lo tanto, operar con completa libertad.
Las prácticas de los usuarios son un importante factor de riesgo
En ambas situaciones, dichas vulnerabilidades exigirían que los usuarios descargasen y abriesen las aplicaciones descargas. En ese sentido, un ataque dependería de la ingeniería social hasta cierto punto y, en cierta medida derivaría en un riesgo menos acentuado. No obstante, si hay algo que caracteriza a macOS es un volumen de amenazas relativamente más reducido que el que existe en Windows o Linux. Precisamente por ello, los usuarios tienden a ser más propensos a ejecutar aplicaciones de dudosa fiabilidad.
Wardle insiste en que ambos ejemplos son una muestra clara sobre la forma en que macOS puede convertirse en objeto de infiltraciones y ataques externos que, aunque no se deba a errores propiamente dichos en el código, sí tienen su origen en algunas lagunas o limitaciones que están presentes en la lógica de macOS.
«MacOS todavía tiene protecciones bastante superficiales. Ambos no se encontraron mediante fuzzing complejo; los fallos se encontraron de forma inadvertida», agregó.
Las vulnerabilidades que expuso a modo de ejemplo ya fueron notificadas el pasado año, lo cual permitió parchearse pero pueden existir muchas otras que aún no se han detectado.
