Microsoft ha revelado detalles sobre una vulnerabilidad de seguridad que ya ha sido corregida en el sistema de Transparencia, Consentimiento y Control (TCC) de Apple en macOS. Esta falla, que probablemente fue utilizada para saltarse las preferencias de privacidad y acceder a los datos de los usuarios, ha sido apodada como "HM Surf".
La vulnerabilidad, registrada como CVE-2024-44133, fue reparada por Apple en su actualización de macOS Sequoia 15, eliminando el código problemático.
Según Jonathan Bar Or, del equipo de Inteligencia de Amenazas de Microsoft, "HM Surf" permitía desactivar la protección de TCC en el directorio del navegador Safari y modificar un archivo de configuración para obtener acceso a los datos del usuario sin su consentimiento. Esto incluía información como el historial de navegación, además de acceder a la cámara, el micrófono y la ubicación del dispositivo.
Aunque la solución actual protege específicamente a los usuarios de Safari, Microsoft ha mencionado que están colaborando con otros navegadores importantes para explorar cómo reforzar la seguridad de sus archivos de configuración locales.
Derechos de TCC y diversa información sobre Safari
La vulnerabilidad "HM Surf" fue descubierta por Microsoft después de una serie de hallazgos previos en macOS, como Shrootless, powerdir, Achilles y Migraine, que permitían a actores maliciosos saltarse las medidas de seguridad de Apple.
TCC (Transparencia, Consentimiento y Control) es un marco de seguridad que evita que las aplicaciones accedan a información personal sin tu permiso. Sin embargo, el fallo reciente que encontraron podría permitir a los atacantes evitar este filtro y acceder a datos sensibles como tu ubicación, contactos, cámara, micrófono y el directorio de descargas, todo sin que lo apruebes.
El acceso a estos datos está controlado por ciertos permisos, y lo curioso es que algunas aplicaciones de Apple, como Safari, tienen privilegios especiales que les permiten saltarse por completo las restricciones de TCC usando un permiso llamado "com.apple.private.tcc.allow". Esto significa que Safari puede acceder libremente a datos confidenciales, pero Apple también ha implementado un mecanismo de seguridad adicional llamado Hardened Runtime, que hace que sea mucho más difícil ejecutar código malicioso dentro del navegador.
Dicho esto, cuando visitas un sitio web que solicita acceso a tu cámara o ubicación por primera vez, Safari te mostrará una ventana emergente similar a la de TCC para pedirte permiso. Estos permisos se guardan para cada sitio web en archivos específicos que se encuentran en el directorio ~/Library/Safari.
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
El exploit "HM Surf" que descubrió Microsoft funciona siguiendo estos pasos:
dscl (lo cual no necesita acceso a TCC en macOS Sonoma).
Este método es ingenioso porque permite a los atacantes alterar la configuración de permisos y aprovechar Safari para acceder a datos personales, todo sin que el usuario lo note.
Microsoft advirtió que este ataque podría ir aún más lejos, permitiendo a los hackers grabar videos completos desde la cámara o capturar audio de forma silenciosa usando el micrófono del Mac. Lo bueno es que los navegadores de terceros no se ven afectados por este problema, ya que no tienen los mismos permisos especiales que las aplicaciones de Apple.
Además, Microsoft mencionó que notaron actividad sospechosa relacionada con un adware conocido en macOS llamado AdLoad, que probablemente está explotando esta vulnerabilidad. Por eso, es súper importante que los usuarios actualicen sus dispositivos lo antes posible.
"Como no pudimos ver todos los pasos que llevaron a esa actividad, no podemos confirmar con certeza si la campaña de AdLoad está aprovechando la vulnerabilidad HM Surf", explicó Jonathan Bar Or. "Pero el hecho de que los atacantes usen métodos similares para lanzar amenazas tan comunes hace que sea aún más crucial protegerse contra este tipo de ataques".