¡Alerta Mac users! ¡Tu antivirus podría estar dejando pasar malware sin detectarlo!

Muchas plataformas de seguridad de terceros están fallando en la implementación adecuada del API de firma de código de Apple, lo que podría permitir que el malware se haga pasar por software firmado.

El "bypass de firma de código" fue descubierto por Josh Pitts, ingeniero de Okta, quien lo descubrió por primera vez en febrero de 2018 antes de hacerlo público el 12 de junio de 2018. Esto afecta a numerosas plataformas de seguridad, incluyendo las de Facebook y Google, y Apple no acepta la responsabilidad, al menos de acuerdo a lo que Pitts dijo sobre su respuesta por parte del fabricante de macOS.

La firma de código implica que un desarrollador o una empresa de software incrusten una firma digital en una aplicación que certifica que fue construida por ellos y no ha sido modificada por terceros. La firma de código asegura que el software proviene de fuentes confiables, y la mayoría de los software de seguridad utilizan la verificación de firma de código para asegurarse de que una aplicación es legítima antes de permitir su instalación.

En el caso de varios suites de seguridad de macOS, Pitts dijo que la verificación de firma de código se está utilizando de manera incorrecta, lo que permite que ciertos archivos ejecutables presenten una firma válida para una parte de una aplicación que se combina con varios módulos maliciosos que el software de seguridad no está verificando.

Índice de Contenido
  1. Identificaciones falsas y porteros descuidados
  2. ¿La respuesta de Apple es la correcta?

Identificaciones falsas y porteros descuidados

Es como volver a la escena de un bar universitario: los estudiantes con identificaciones falsas saben que ciertos bares tienen porteros con procedimientos de inspección menos rigurosos, y ahí es donde se dirigen cuando quieren pasar desapercibidos.

En el caso de la seguridad de macOS, ser descuidado al inspeccionar las identificaciones podría permitir que un montón de malware pase desapercibido, potencialmente cualquier cosa que un atacante pueda incluir en un archivo FAT se puede utilizar.

Cómo configurar los directorios de inicio seguros para nuevos usuarios en Linux

Según Pitts, aprovechar las verificaciones de firma de código solo requiere algunas cosas:

  • Un archivo ejecutable en formato FAT/universal que contenga como primer elemento un archivo Mach-O firmado correctamente formateado para i386, x86_64 o PPC.
  • Binarios maliciosos que estén firmados adhoc e i386 compilados para un sistema macOS x86_64.
  • El campo CPU_TYPE en el archivo de encabezado debe establecerse en un formato no válido o uno que no sea nativo para el chipset de la máquina de destino.

"Sin pasar el SecRequirementRef y el SecCSFlags adecuados, el API de firma de código (SecCodeCheckValidity) comprobará el primer binario del archivo Fat/Universal para determinar quién firmó el ejecutable (por ejemplo, Apple) y verificará que no se haya realizado ninguna modificación a través de la firma criptográfica; luego, el API comprobará cada uno de los siguientes binarios del archivo Fat/Universal para asegurarse de que los identificadores del equipo coincidan y no se haya realizado ninguna modificación mediante la firma criptográfica, pero sin verificar la raíz de confianza de la CA", dijo Pitts en su publicación.

Formatear los archivos particulares en el ejecutable FAT es esencial, ya que i386 causa problemas para el API de firma de código, que "tiene preferencia por la arquitectura nativa de la CPU (x86_64) para las comprobaciones de firma de código y se basará en comprobar el código no firmado si este es x86_64".

En resumen, un ejecutable que logra hacer las cosas correctamente se verá correctamente firmado y podrá ejecutar cualquier malware que contenga impunemente.

¿La respuesta de Apple es la correcta?

Después de que Pitts informara a Apple sobre el exploit, la compañía le dijo que "los desarrolladores de terceros deberían usar kSecCSCheckAllArchitectures y kSecCSStrictValidate con la API de SecStaticCodeCheckValidity", y que actualizaría su documentación para desarrolladores para reflejar ese requisito.

Pitts respondió diciéndole a Apple, y proporcionando una prueba de concepto, que era posible evadir ambas banderas y la verificación estricta de la firma de código, lo que permitiría que el exploit funcionara incluso si el desarrollador incluye esas banderas.

Cómo controlar la configuración de anuncios de Google: más transparencia y control para los usuarios

Según Pitts, "Apple declaró que no veía esto como un problema de seguridad que debían abordar directamente" y nuevamente dijo que los desarrolladores "necesitan hacer trabajo adicional para verificar que todas las identidades en un binario universal sean iguales si desean presentar un resultado significativo".

La línea de tiempo de divulgación de Pitts hace que Apple parezca no estar dispuesta a aceptar la responsabilidad del exploit, en lugar de eso, se responsabiliza a los desarrolladores por el uso incorrecto de su API de firma de código. Sin embargo, si el exploit aún se puede realizar incluso con las banderas recomendadas por Apple habilitadas, no parece ser un problema del desarrollador.

Por ahora, no hay muchas acciones que se puedan tomar aparte de revisar el artículo de Pitts para ver si su software antivirus se ve afectado. Si es así, asegúrese de instalar las últimas actualizaciones para obtener una solución cuando esté disponible, y evite instalar aplicaciones de cualquier lugar que no sean fuentes confiables como la App Store de macOS.

Las principales conclusiones para los líderes tecnológicos:

  • Una falla en el manejo de la firma de código por parte del software de seguridad de terceros en macOS permite que una aplicación maliciosa se haga pasar por adecuadamente firmada.
  • Apple dice que el problema radica en la forma en que los terceros implementan su API, pero sus sugerencias sobre cómo solucionar el problema no lo resuelven. Mantenga su sistema macOS seguro instalando las últimas actualizaciones de antivirus y no instale aplicaciones de fuentes no confiables.

También te puede interesar:

  • Mejora tu productividad en Mac con estas 10 técnicas (PDF gratuito) (Newsmatic)
  • Estúpida, estúpida falla de seguridad de MacOS otorga acceso de administrador a cualquier persona (ZDNet)
  • macOS 10.14 Mojave de Apple presenta grandes actualizaciones de seguridad y privacidad: aquí está la lista (Newsmatic)
  • Nuevo backdoor de MacOS conectado al grupo de amenazas OceanLotus (ZDNet)
  • Un hacker afirma haber descifrado el Secure Enclave de Apple, destruyendo una pieza clave de la seguridad móvil de iOS (Newsmatic)

Cómo utilizar contraseñas sugeridas en Safari y iCloud para mejorar la seguridad de tus cuentas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ¡Alerta Mac users! ¡Tu antivirus podría estar dejando pasar malware sin detectarlo! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.