Apple
El grave error de seguridad de macOS Mojave en el día de lanzamiento
Un experto ha dado a conocer una vulnerabilidad que afecta a la privacidad del usuario del nuevo sistema operativo de Apple para Mac
Apple ha estrenado su nuevo sistema operativo macOS Mojave para los usuarios del Mac con tortazo incluido. Este lunes, los de Cupertino informaban del lanzamiento del «sistema operativo de sobremesa más avanzado del mundo» y, horas después, un experto en seguridad informática descubría un grave error de privacidad .
Patrick Wardle , jefe de investigadores de Digita Security, informó a través de Twitter cómo se pueden eludir los controles de privacidad en la nueva versión y se puede acceder a las credenciales de un usuario . A través de un vídeo, el experto demuestra cómo un hacker puede acceder, a través de una aplicación maliciosa que no necesita tener privilegios de administrador, al listado de direcciones de un usuario.
Los Mac, desde hace muchos años, exigen a las aplicaciones tener permiso para acceder a los contactos y al calendario porque ciertas «apps» cargan datos privados del usuario. Apple, en su última conferencia anual para desarrolladores, advirtió de que ampliaría esta función a aplicaciones que quieran acceder a la cámara, micrófono, correo electrónico y copias de seguridad.
« El error podría permitir que una aplicación maliciosa acceda a ciertos datos protegidos , como los contactos de un usuario, cuando se inicia sesión», ha declarado Wardle a « TechCrunch ».
Esta última versión de macOS Mojave lleva en beta desde junio. Desde entonces, muchos desarrolladores han estado trasteando con ella y, sin embargo, nadie, excepto Wardle, ha dado con este error.
El vídeo grabado por él mismo muestra que el sistema operativo inicialmente rechazó el acceso a sus contactos almacenados, pero después copió toda su libreta de direcciones en el escritorio tras ejecutar un script sin privilegios que simulaba ser una aplicación maliciosa.
Mojave's 'dark mode' is gorgeous 🙌
— patrick wardle (@patrickwardle) 24 de septiembre de 2018
...but its promises about improved privacy protections? kinda #FakeNews 😥
0day bypass:https://t.co/rRf8t7C7Zf
btw if anybody has a link to 🍎's macOS bug bounty program I'd 💕 to report this & other 0days -donating any payouts to charity 🙏
Wardle aún no ha publicado detalles del error para proteger a los usuarios aunque en el vídeo evidencia cierta frustración por la falta de actitud de Apple a la hora de recompensar los errores de seguridad , algo de desmoraliza a los profesionales que como él se dedican a este tipo de cosas. Tal y como informa «TechCrunch» Apple ha sido una de las últimas compañías importantes en lanzar un programa de recompensas por errores, es decir, pagan a los investigadores de seguridad que encuentren vulnerabilidades. Los de Cupertino ofrecían hasta 200.000 dólares por los errores más severos en iOS. Sin embargo, en macOS, por razones que se desconocen, Apple no cuenta con este programa.
No es la primera vez que Wardle pone en evidencia a los de Cupertino. Hace un año, también descubrió un fallo de seguridad en el sistema macOS High Sierra que permitía robar las contraseñas.
