Cada vez que usted apaga tu Mac, aparece una ventana emergente: «¿Estás seguro de que quieres apagar tu computadora ahora?» Debajo del indicador hay otra opción que la mayoría de nosotros probablemente pasamos por alto: la opción de reabrir las aplicaciones y ventanas que tiene abiertas ahora cuando su máquina se vuelve a encender. Los investigadores ahora han encontrado una manera de explotar una vulnerabilidad en esta función de «estado guardado», y se puede usar para romper las capas clave de las protecciones de seguridad de Apple.
La vulnerabilidad, que es susceptible a un ataque de inyección de proceso para romper la seguridad de macOS, podría permitir que un atacante lea todos los archivos en una Mac o tome el control de la cámara web, dice Thijs Alkemade, investigador de seguridad de la firma de ciberseguridad con sede en los Países Bajos Computest que encontró la falla. “Es básicamente una vulnerabilidad que podría aplicarse a tres ubicaciones diferentes”, dice.
Después de implementar el ataque inicial contra la función de estado guardado, Alkemade pudo moverse a través de otras partes del ecosistema de Apple: primero escapó de la zona de pruebas de macOS, que está diseñada para limitar los hackeos exitosos a una aplicación, y luego omitió la Protección de integridad del sistema (SIP). ), una defensa clave diseñada para evitar que el código autorizado acceda a archivos confidenciales en una Mac.
Alkemade, que presentará el trabajo en la conferencia Black Hat en Las Vegas esta semana, encontró la vulnerabilidad por primera vez en diciembre de 2020 e informó el problema a Apple a través de su esquema de recompensas por errores. Le pagaron una recompensa «bastante agradable» por la investigación, dice, aunque se niega a detallar cuánto. Desde entonces, Apple ha publicado dos actualizaciones para corregir la falla, primero en abril de 2021 y nuevamente en octubre de 2021.
Cuando se le preguntó sobre la falla, Apple dijo que no tenía ningún comentario antes de la presentación de Alkemade. Las dos actualizaciones públicas de la compañía sobre la vulnerabilidad no tienen detalles, pero dicen que los problemas podrían permitir que las aplicaciones maliciosas filtren información confidencial del usuario y aumenten los privilegios para que un atacante se mueva a través de un sistema.
Los cambios de Apple también se pueden ver en Xcode, el espacio de trabajo de desarrollo de la compañía para creadores de aplicaciones, dice una publicación de blog que describe el ataque de Alkemade. El investigador dice que si bien Apple solucionó el problema para las Mac que ejecutan el sistema operativo Monterey, que se lanzó en octubre de 2021, las versiones anteriores de macOS aún son vulnerables al ataque.
Hay varios pasos para lanzar con éxito el ataque, pero fundamentalmente vuelven a la vulnerabilidad de inyección del proceso inicial. Los ataques de inyección de procesos permiten a los piratas informáticos inyectar código en un dispositivo y ejecutarlo de una manera diferente a la que se pretendía originalmente.
Los ataques no son raros. “A menudo es posible encontrar la vulnerabilidad de inyección de proceso en una aplicación específica”, dice Alkemade. “Pero tener uno que sea tan universalmente aplicable es un hallazgo muy raro”, dice.
La vulnerabilidad que encontró Alkemade está en un objeto «serializado» en el sistema de estado guardado, que guarda las aplicaciones y ventanas que tiene abiertas cuando apaga una Mac. Este sistema de estado guardado también se puede ejecutar mientras se usa una Mac, en un proceso llamado App Nap.