La cámara y el micrófono de macOS de Apple en riesgo, advierte investigador

El malware de Mac utiliza la cámara y el micrófono integrados para espiarte en secreto

Patrick Wardle, Director de Investigación en Synack, demostró cómo el malware podría fácilmente “aprovecharse” de sesiones de video y audio iniciadas por el usuario legítimo al obtener acceso a la cámara y el micrófono de un dispositivo macOS mientras mantiene oculta su actividad de espionaje.

El malware con esta habilidad debe ser capaz de detectar una sesión de cámara web iniciada por el usuario, comenzar su propia grabación y finalizarla tan pronto como la sesión legítima haya terminado, de modo que la cámara y el indicador LED basado en hardware puedan apagarse.

Cada MacBook que Apple ha enviado durante más de una década ha venido equipada con una cámara y un micrófono integrados. Hay una luz LED en un MacBook que indica cuándo la cámara del dispositivo está activa. Según el análisis de Wardle, la seguridad de hardware para desactivar el indicador LED es muy fuerte. Sin embargo, hay aplicaciones legítimas que pueden acceder a una cámara web cuando un usuario esperaría que la luz LED se encendiera.

Wardle quería determinar, utilizando una aplicación no autorizada para rastrear y grabar a un usuario de macOS sin su conocimiento, si era posible aprovecharse del uso legítimo de la cámara. Resulta que la cámara web es un recurso compartido en macOS, lo que significa que los usuarios podrían posiblemente usar tanto FaceTime como aplicaciones de video de Skype simultáneamente, si así lo desean.

“Básicamente, todo lo que hace el malware es monitorear un sistema macOS en busca de una sesión de cámara web legítima”, dijo Wardle. “El malware puede entonces acceder a la cámara web y comenzar a grabar al usuario local.”

Sin embargo, hay algunas limitaciones en el escenario de ataque de Wardle. En primer lugar, se requiere que el usuario de macOS esté infectado con malware de alguna fuente para permitir el uso no autorizado de la cámara. Ha habido ejemplos de aplicaciones legítimas de macOS que han sido comprometidas de alguna manera para convertirse en malware, señaló Wardle. Dicho esto, las posibilidades de una infección por malware son relativamente escasas, solo si un usuario descarga aplicaciones firmadas de la tienda de aplicaciones de Apple para macOS.

“Ha habido un aumento reciente en el malware de macOS que es consciente de la cámara web”, dijo.

El malware OS.X Eleanor fue detectado públicamente por primera vez en julio, que intentó grabar a usuarios de Apple, señaló Wardle. Sin embargo, los usuarios grabados aleatoriamente por el malware Eleanor con un indicador de cámara LED de MacBook que se encendió por sí mismo, sin que otra aplicación iniciara primero la cámara, dijo.

En la opinión de Wardle, debería ser más fácil para los usuarios notar que el indicador LED de la cámara de sus dispositivos se enciende por sí mismo, notificándoles que algo está mal.

“Si en su lugar hubieran utilizado esta técnica y esperado el uso legítimo y luego grabado al usuario, el malware Eleanor podría haber evitado fácilmente la detección”, dijo Wardle.

La capacidad de aprovecharse de una aplicación existente no es necesariamente una vulnerabilidad que Apple podría o debería corregir, dijo Wardle. Agregó que tener la cámara como un recurso compartido puede tener sentido.

Wardle quiere una herramienta para macOS similar a la que se proporciona a sus usuarios móviles de iOS, donde cuando una aplicación intenta acceder a la cámara por primera vez, aparece un cuadro de diálogo emergente preguntando al usuario si desea otorgar acceso.

“Me gustaría que macOS fuera más como iOS, donde hay una alerta cuando se accede a la cámara”, dijo Wardle. “Eso permitiría que el sistema siga compartiendo la cámara web, pero si el malware intenta acceder a tu sistema de alguna manera, verías una solicitud emergente de acceso.”

Aunque Apple aún no tiene un indicador de actividad de la cámara para macOS, Wardle ha construido una herramienta gratuita llamada OverSight que monitoreará el micrófono y la cámara web y notificará al usuario cada vez que se enciendan la cámara y el micrófono de su Mac.

OverSight es capaz de identificar todos los procesos que acceden y utilizan la cámara integrada, los reconoce y permite a los usuarios bloquearlos:

Actualmente, en lo que respecta al audio, el software es capaz de identificar que el micrófono está activado y alertar a los usuarios sobre ese hecho.

Si bien siempre es fácil cubrir tu cámara para bloquear grabaciones secretas, es más difícil hacer lo mismo con el micrófono.

A pesar de que Wardle es consciente de las limitaciones de la herramienta, dice que continuará mejorándola.

“Como con cualquier herramienta de seguridad, los intentos directos o proactivos de eludir específicamente las protecciones de OverSight probablemente tendrán éxito”, señaló.

“Además, la versión actual de OverSight utiliza APIs en modo usuario para monitorear eventos de audio y video. Por lo tanto, cualquier malware que tenga un componente en modo kernel o rootkit puede ser capaz de acceder a la cámara web y al micrófono de manera indetectable.”

Fuente: eWEEK