Un investigador de ciberseguridad ha descubierto un peligroso fallo en macOS de Apple, que permitía a los delincuentes acceder a las cuentas online de las víctimas e incluso entrar en sus cámaras web.
El fallo, del que Ryan Pickren informó a los gigantes de Cupertino el pasado verano, fue parcheado a principios de este mes, mientras que Pickren se fue a casa con una recompensa de 100.000 dólares.
El fallo, un error universal de secuencias de comandos en sitios cruzados (UXSS), se encontraba en el navegador del sistema operativo, Safari.
Acceso total
Explicando el resultado final a The Register, Picker dijo que el error da al atacante "acceso total a todos las webs que has visitado en Safari, lo que significa que si estás visitando mi web en una pestaña, y en tu otra pestaña tienes Twitter abierto, puedo saltar a esa pestaña y hacer todo lo que tú podrías hacer desde esa pantalla. Así que me permite tomar posesión total de la cuenta en cada web que visitaste en Safari".
Así es como funciona (de la forma más breve posible): Safari tiene una serie de esquemas URI personalizados, como mailto:, s3:, etc. Uno de ellos se llama icloud-sharing:, y al activarlo se abre ShareBear, una aplicación interna de macOS diseñada para compartir documentos a través de iCloud. Una web, por ejemplo, puede activarlo y hacer que Safari cargue el contenido alojado en otro lugar.
Ejecución de archivos maliciosos
Esto no sería un problema, si no fuera por el simple hecho de que los archivos descargados pueden ser alterados posteriormente por el atacante. Así, una víctima podría descargar un inocente archivo .PNG, y que después se transforme en un archivo malicioso.
"En esencia, la víctima ha dado permiso al atacante para plantar un archivo polimórfico en su equipo y el permiso para lanzarlo remotamente en cualquier momento. Vaya. ¿Accediste a ver mi archivo PNG ayer? Pues hoy es un binario ejecutable que se lanzará automáticamente cuando yo quiera", explicó Picker en otra entrada de blog.
Para abrir el archivo, explica Pickren, necesitaba saltarse la restricción de Gatekeeper, lo que resultó ser relativamente sencillo. Lo hizo a través de una web personalizada, que puede lanzar un JavaScript en un origen arbitrario (por ejemplo facebook.com). Eso le permitió, entre otras cosas, encender la cámara.
Para solucionar el problema, Apple hizo dos cosas: Primero, hizo que ShareBear solo revelara los archivos descargados, en lugar de lanzarlos, en macOS Monterey 12.0.1. En segundo lugar, parcheó el motor WebKit de Safari para impedir que los archivos web descargados se abrieran.
