La explotación del hack de Gatekeeper permite a los hackers introducir malware en tu Mac

Los hackers pueden explotar la herramienta de malware Gatekeeper de Mac con una nueva explotación e instalar aplicaciones maliciosas

En 2012, Apple introdujo Gatekeeper como una capa adicional de seguridad en su sistema operativo de escritorio Mac OS X. Esta función fue diseñada para evitar que incluso los usuarios más avanzados instalaran accidentalmente software malicioso en sus computadoras. Gatekeeper verifica el certificado digital de una aplicación que se está instalando en un Mac para asegurarse de que ha sido firmada por un desarrollador aprobado, o que la descarga proviene directamente de la App Store de Apple.

Sin embargo, se ha encontrado que Gatekeeper permite a los hackers introducir malware en tu Mac al eludir completamente la famosa seguridad de Mac. Usando una explotación especialmente diseñada, los atacantes cibernéticos pueden abrir una aplicación maliciosa de Mac, incluso si está configurada para abrir solo aquellas descargadas de la App Store.

La explotación fue descubierta por Patrick Wardle, director de investigación en la firma de seguridad Synack. Wardle encontró que la explotación es posible gracias a un defecto de diseño clave en Gatekeeper que permite a un atacante usar un archivo binario ya confiable por Apple para ejecutar archivos maliciosos.

Wardle ha encontrado un binario ampliamente disponible que ya está firmado por Apple, que al ejecutarse ejecuta una aplicación separada ubicada en la misma carpeta. Debido a preocupaciones de seguridad, los nombres de los archivos no se han divulgado. Por lo tanto, llamémoslos Binario 1 y Binario 2.

Lo que hace la explotación del hack de Gatekeeper es simple, renombra el Binario 1 y luego lo empaqueta dentro de una imagen de disco de Apple. Dado que el Binario 1 renombrado ya está firmado por Apple, será aprobado de inmediato por Gatekeeper y será ejecutado por OS X.

Después de obtener acceso al núcleo del sistema operativo, el Binario 1 buscará el Binario 2 ubicado en la misma carpeta, que en este caso es la imagen de disco descargada. Como Gatekeeper solo verifica el archivo original en el que hace clic un usuario final, la explotación de Wardle intercambia el legítimo Binario 2 por uno malicioso y lo agrupa en la misma imagen de disco bajo el mismo nombre de archivo. Dado que el Binario 2 no necesita un certificado digital para ejecutarse, puede instalar cualquier cosa que el atacante desee.

Un método similar también funciona con complementos (por ejemplo, complementos de Photoshop) que pueden eludir Gatekeeper: Encuentra una aplicación que cargue complementos, sustituye tu malware por uno de esos complementos y nuevamente Gatekeeper no presta atención.

Estos archivos empaquetados pueden instalar diversos tipos de malware, incluidos registradores de contraseñas, aplicaciones que pueden capturar audio y video, y software de botnet.

La explotación del hack de Gatekeeper funciona en todas las versiones de Mac OS X, incluidas El Capitan y Yosemite. Wardle declaró que pudo probar con éxito su explotación en la versión beta de El Capitan.

Hablando sobre seguridad y privacidad, Patrick Wardle hizo un buen punto al decir que:

“Si yo puedo encontrarlo, debes asumir que grupos de hackers o estados nación más sofisticados han encontrado debilidades similares. Estoy seguro de que hay otras aplicaciones firmadas por Apple que también pueden ser abusadas para eludir Gatekeeper.”

Wardle dice que la vulnerabilidad fue reportada hace 60 días y tiene planes de presentar sus hallazgos en la Conferencia Internacional de Virus Bulletin el jueves en Praga. Mientras tanto, Apple está al tanto del fallo y está trabajando en un parche para solucionar la causa subyacente. Aunque no está claro cuándo llegará la solución, el único consejo hasta entonces sería obtener aplicaciones solo de aquellas fuentes en las que puedas confiar.