Un error de seguridad de Mac permite que el malware aparezca como programas legítimos de Apple
Una nueva vulnerabilidad afecta a Mac. Se trata de un error de seguridad de algunos programas de terceros que permiten que el malware aparezca como si fuera un software legítimo con la firma de Apple. Este fallo es causado por el método que usan las aplicaciones para verificar si un archivo ejecutable está firmado correctamente o no. De esta manera permite a un hipotético atacante crear un ejecutable de malware especialmente configurado con la firma de Apple, pese a no serlo.
Vulnerabilidad en Mac permite que el malware pase por software legítimo
Al crear una aplicación, el desarrollador incluye un código, una firma al archivo ejecutable. Esto se utiliza para verificar que la aplicación no haya sido alterada y que es original. Que no incluya malware, en definitiva. Algunas herramientas de seguridad utilizan estas firmas para generar una lista blanca de aplicaciones para poder ejecutarlas con seguridad.
Es por ello que un programa que tenga la firma de Apple puede ser considerado como seguro. Así, al menos, lo interpretan las herramientas de seguridad. Sin embargo un software que no esté firmado y que no proporcione información de su procedencia, puede ser más dudoso.
El problema, como hemos mencionado, es la vulnerabilidad que afecta a Mac y que hace que programas de terceros puedan permitir que el malware, programas modificados, aparezcan como si se tratara realmente de software legítimo de Apple. Una problemática bastante importante de cara a la seguridad de los usuarios. Es posible que instalen aplicaciones que crean legítimas pero que realmente estén modificadas para afectar a sus equipos.
Archivo Fat malicioso
Según los investigadores, la vulnerabilidad en aplicaciones de terceros se puede utilizar mediante la creación de un archivo Fat malicioso especialmente diseñado para engañar a las aplicaciones de terceros y que piensen que están firmadas por Apple. Un archivo Fat es un ejecutable en Mac.
Este tipo de archivo podría contener varios binarios que se dirigen a un tipo de CPU en particular. Esto permite que un ejecutable contenga diferentes versiones de la misma aplicación que pueden ejecutarse en diferentes arquitecturas de CPU.
El problema es que muchas aplicaciones de terceros no están comprobando correctamente cada componente del archivo Fat para comprobar si la firma es válida. Esto hace que los programas verifiquen solo el primer binario en el archivo Fat, que está firmado correctamente por Apple, y luego confían en el resto de las secciones del archivo, incluso en la parte maliciosa. Puedes ver qué tener en cuenta para usar aplicaciones de seguridad.
Esto, como hemos mencionado, hace que la aplicación parezca estar firmada por Apple para ejecutar código malicioso.
Desde Apple aseguran que se trata de un problema de los propios desarrolladores. Han mencionado, según recogen en Bleeping Computer, que los desarrolladores externos deberían realizar un trabajo adicional para verificar que todas las identidades en un binario universal sean las mismas si quieren presentar un resultado correcto.
De entre los proveedores y aplicaciones que se han visto afectados se encuentran VirusTotal, Facebook, Google, F-Secure, Yelp o Carbon Black. Actualizar estos servicios y sus relacionados podría prevenir de esta vulnerabilidad.