Vulnerabilidad de 11 años en macOS

Apple se vanagloria –y sus usuarios- de tener un ecosistema más seguro que sus competidores: Windows en escritorio, Android en móviles. Y es cierto, pero con matices. Hay menos amenazas de malware, en parte, porque el público es menor y por tanto las plataformas iOS y macOS son menos interesantes para los delicuentes. Y por otro lado, su software es más restrictivo. Pero en los sistemas operativos de Apple hay también amenazas y fallos de seguridad. La firma Okta ha descubierto uno que permaneció durante casi 11 años al alcance de atacantes.

La compañía de Cupertino ha dejado abierta una puerta trasera en su sistema operativo macOS durante más de una década. Sencillamente, porque según han destapado expertos en seguridad informática, ha sido posible engañar al sistema operativo haciéndole creer que la propia Apple es la que ha firmado piezas de malware. La firma digital de programas es un sistema de seguridad básico en los sistema operativos modernos, son generadas por criptografía, y sirven para garantizar que una app proviene de una fuente fiable. Ahora bien, en macOS, desde 2007, se ha mantenido una tecnología insegura que permitía saltarse este sistema de seguridad.

La técnica funcionaba utilizando un formato binario, conocido como Fat o Universal File, que contenía varios archivos que se escribieron para diferentes CPU utilizadas en Macs a lo largo de los años, como i386, x86_64 o PPC. Solo el primer archivo llamado Mach-O en el paquete tenía que ser firmado por Apple. Al menos ocho herramientas de terceros mostraban otro código ejecutable no firmado incluido en el mismo paquete que el firmado por Apple. Las herramientas incluyen VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black's db Response y varias herramientas de Objective-See. Muchas empresas y personas confían en algunas de estas herramientas para ayudar a implementar procesos de listas blancas que permiten que solo las aplicaciones aprobadas se instalen en una computadora, mientras que prohíben todas las demás.

La técnica en cuestión fue descubierta en febrero de este mismo año, y en ese momento se informó a Apple de manera directa y en privado, como es evidente. Ahora, el problema se ha hecho público porque la firma de Cupertino ha resuelto la vulnerabilidad de su sistema operativo. No obstante, los expertos en seguridad informática se han preocupado con ello, por la sencillez con la que era posible hacer un bypass y "cargarse" todo el sistema de seguridad con firmas digitales de Apple.

Apple ha actualizado la documentación relativa al sistema de firmas digitales de software de terceros. El problema ya está resuelto, pero no deja de ser curioso que, como ha ocurrido con otros problemas de Windows, un fallo de seguridad de este calibre se haya mantenido a disposición de los atacantes durante tanto tiempo. Más de una década, en este caso, desde el lanzamiento de Leopard.

Fuente: ArsTechnica