Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Thetechguy escriba una noticia?

Vulnerabilidad día cero presente en macOS

16/08/2018 11:40 0 Comentarios Lectura: ( palabras)

La falla permitiría a los hackers esquivar medidas de seguridad mediante clics invisibles

apple

Acorde a una investigación llevada a cabo por un experto en seguridad en redes informáticas, una computadora Mac con la versión más reciente del sistema operativo de Apple Sierra podría ser atacada ajustando sólo dos líneas de código. Patrick Wardle, ex hacker de la Agencia de Seguridad Nacional (NSA), descubrió una vulnerabilidad crítica de día cero en el sistema operativo macOS que podría permitir que una aplicación maliciosa instalada en el sistema atacado haga clic de forma virtual en el sistema, todo sin interacción o consentimiento requerido del usuario.

Para ejemplificar qué tan peligrosa puede ser esta vulnerabilidad, el especialista en seguridad en redes informáticas comenta que “con un solo clic se pueden pasar por alto innumerables mecanismos de seguridad. ¿Ejecutar una aplicación no confiable? Haga clic aquí… permitido. ¿Autorizar el acceso al llavero? Haga clic aquí… permitido”.

El experto ha mostrado su investigación, llamada “El ratón es más fuerte que la espada”, sobre las “interacciones sintéticas” realizando un ataque que es capaz de “clics sintéticos” – clics programáticos e invisibles generados por un programa de software en vez de un humano.

El código macOS por sí mismo ofrece estos “clics sintéticos” como una función de accesibilidad para que las personas con discapacidad interactúen con la interfaz del sistema de formas no tradicionales, pero Apple ha puesto algunas limitaciones para evitar que se haga mal uso de estas funciones.

Más sobre

Por casualidad, Wardle descubrió que High Sierra interpreta incorrectamente dos eventos consecutivos de mouse “inactivo” como un clic legítimo, permitiendo a los atacantes interactuar mediante programación con advertencias de seguridad, que les pide a los usuarios elegir entre permitir o denegar y acceder a datos o características confidenciales. “La interfaz de usuario es el punto de falla”, dice el experto. “Si tiene una forma de interactuar sintéticamente con estas alertas, tiene una forma muy poderosa de eludir todos estos mecanismos de seguridad”.

Aunque Wardle aún no ha publicado los detalles técnicos de la vulnerabilidad, dice que esta puede explotarse para eliminar todas las contraseñas del llavero de macOS o cargar extensiones maliciosas del kernel al hacer clic virtualmente en el botón “permitir” en el indicador de seguridad y obtener el control total de una máquina.

A diferencia de anteriores ocasiones, Wardle no informó a Apple sobre su investigación y optó por revelar públicamente los detalles de la vulnerabilidad en un reciente evento de seguridad informática.

Acorde a especialistas en seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética, Mojave, la próxima versión de macOS, ya ha mitigado la amenaza bloqueando la interacción sintética, lo que reduce el alcance de las funciones de accesibilidad en las aplicaciones que usan legítimamente esta característica.


Sobre esta noticia

Autor:
Thetechguy (1183 noticias)
Visitas:
2969
Tipo:
Suceso
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.