Skip to main content

Apple paga una gran recompensa por un agujero de seguridad en Safari

Safari
(Image credit: Apple)

Un investigador de ciberseguridad ha descubierto un peligroso agujero de seguridad en macOS de Apple que permite que los atacantes puedan acceder a todas las sesiones abiertas en tu navegador — tu banco, tu correo electrónico, Amazon o cualquier servicio web — e incluso acceder a tu cámara web.

Ryan Pickren lo comunicó a Cupertino el verano pasado y ha sido parcheado a principios de este mes. Por su trabajo, Pickren ha recibido una recompensa de 100.000 dólares.

Este error — un defecto universal de scripting entre sitios (UXSS) — está en el navegador del sistema operativo, Safari.

Acceso total

Picker contó a The Register que el bug otorga al atacante "acceso completo a todos los sitios web que has visitado en Safari, lo que significa que si estás visitando el sitio web atacante en una pestaña y en otra pestaña tienes Twitter abierto, [el atacante puede] saltar a esa pestaña y hacer todo lo que quiera en esa pantalla. De esta manera permite acceder a la información de tu cuenta en cada sitio web que visites en Safari".

El problema es el siguiente: Safari tiene una serie de esquemas de URL personalizados, como mailto:, s3:, etc. Uno de ellos se llama "icloud-sharing:" Al activarlo se abre ShareBear, una aplicación interna de macOS diseñada para compartir documentos a través de iCloud. Un sitio web puede activarlo y para cargar ficheros alojados en otro lugar via Safari.

Ejecución de archivos web maliciosos

Esto no sería un problema si no fuera por el simple hecho de que los archivos descargados pueden ser alterados más tarde por el autor. De esta manera, una víctima puede descargar un inocente. archivo PNG que puede transformarse después en un archivo malicioso en la web.

"En esencia, la víctima le da permiso al atacante para plantar un archivo polimórfico en su máquina y permiso para lanzarlo de forma remota en cualquier momento. Vaya, sí. ¿Aceptaste ver mi archivo PNG ayer? Bueno, hoy es un binario ejecutable que se lanzará automáticamente cuando quiera", explicó Picker en otro blog.

Para abrir el archivo web, Pickren explica que se necesita eludir la restricción Gatekeeper, algo que resultó ser relativamente simple. Lo hizo a través de una página web personalizada que puede lanzar un JavaScript desde cualquier sitio (como facebook.com). Esto le permitió, entre otras cosas, hasta encender la cámara.

Para solucionar este problema, Apple ha hecho dos cosas: primero, cambiar ShareBear para que simplemente revele los archivos descargados en lugar de ejecutarlos en macOS Monterey 12.0.1. En segundo lugar, parcheó el motor WebKit de Safari para evitar que se abran archivos web descargados.

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.