La protección de seguridad de macOS Mojave se puede saltar fácilmente con los clicks “sínteticos” (o automáticos)

Los clicks sintéticos o artificiales (synthetic clicks) son pulsaciones de raton generadas por un programa en vez de por el usuario, es decir no se producen pulsando físicamente los botones de un ratón o un trackpad. Estos clicks automáticos son una herramienta muy conocida ya que permite automatizar tareas y también son muy útiles para personas con algún tipo de discapacidad. Unas horas después de la presentación del WWDC 2019, se ha publicado un nuevo fallo relacionado con esta funcionalidad de generar pulsaciones de ratón.

La seguridad de macOS Mojave se mejoró recientemente para hacer más complicado que aplicaciones maliciosas tuvieran acceso a información privada del usuario, como contactos, calendario, localización, etc o incluso el micrófono o la cámara web. La principal protección es un simple popup sobre el cual hay que pulsar “OK” o “Don´t Allow” (no permitir). Pues parece ser que esta idea de las ventanas emergentes para permitir o denegar el acceso no son una buena idea del todo, ya que se pueden saltar con unos clicks automáticos.

Estos se pueden generar fácilmente desde el mismo Mojave con el conocido lenguaje de programación AppleScript. Este problema ya apareció hace unos meses (incluso viene de atrás) y la solución que adoptó fue simplemente forzar a hacer un click físico (o sea, con el ratón o touchpad) al botón de permitir. Pero parece ser que esta solución no ha sido suficiente. Patrick Wardle, un empleado de la NSA ha encontrado otra forma de saltarse esta protección con relativa facilidad.
Figura 1. Ejemplo ventana PopUp que el usuario debe de hacer click para permitir su ejecución. Fuente.
Esta nueva forma de saltar la protección se ha presentado en la conferencia Objetive By The Sea en Mónaco, este domingo pasado. Se basa en un error relacionado con una whitelist la cual contiene aplicaciones que tienen autorizado crear estos clicks sintéticos. Las aplicaciones se firman con un certificado digital para confirmar que son genuinas, pero si contienen algún tipo de malware (o se han manipulado), este certificado será erróneo y la aplicación no se ejecutará. Pero parece ser que macOS sólo comprueba que existía el certificado, no verifica si es correcto y tampoco si esa aplicación está en la whitelist o no. 
VLC es un ejemplo práctico para poner a prueba esta vulnerabilidad. Debido a las muchas opciones de personalización que tiene este programa de vídeo para crear nuestras propias configuraciones y plugins, es posible utilizarlo como base para crear un plugin malicioso y hacer clicks sintéticos para aprobar las ventanas de comprobación del sistema operativo. Con VLC ocurre exactamente lo se ha explicado en el párrafo anterior, no se comprueba ya que el sistema lo da por válido pero no comprueba si se ha podido manipular. 
Figura 2. Diapositiva de la charla de Patrick Wardle. Fuente.
Este ataque es del tipo “second stage“, es decir, necesita que el atacante tenga acceso al ordenador, aún así, Apple ha sido informado y en breve publicará un parche para solucionar este problema, aunque le quitó algo de importancia diciendo que al no ser un ataque remoto, no pondrá en riesgo a muchos usuarios de Mac. Es importante solucionar este error lo antes posible ya que, combinado por ejemplo con algún zero-day que permita acceder al ordenador, podemos encontrarnos con un problema realmente importante que pondría en riesgo los datos privados del usuario. Estaremos atentos a la solución del mismo por parte de Apple.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.