A veces ocurre, y es inevitable: por más que Apple cuide tanto como pueda la seguridad y la privacidad de los usuarios en su software, siempre aparece una vulnerabilidad fruto de la investigación de expertos. Patrick Wardle, investigador, ha descubierto un agujero de seguridad en Safari con el que se puede instalar malware remotamente en un Mac.
El truco es posible gracias a las direcciones personalizadas de Safari, llamadas URL Handlers, con las que el navegador puede abrir una aplicación automáticamente siempre que el usuario lo permita. Basta con que una persona con malas intenciones cambie ese handler en el momento adecuado.
Cuando una dirección personalizada te la juega
Puede que esos URL handlers te suenen. Normalmente, las direcciones web empiezan por el clásico "http://". Pero algunas aplicaciones lo sustituyen por otra cadena de caracteres, que inmediatamente hacen que se abra esa aplicación. Un ejemplo rápido: Safari te pide abrir la Mac App Store en cuanto pulsas en un enlace que empieza por "macappstore://".
Para que Safari haga eso, el navegador tiene que registrar ese handler en macOS. Es algo que cualquier aplicación de terceros puede hacer siempre que cumpla con todos los protocolos de seguridad.
Es ahí donde alguien puede sacar ventaja y entrar sin permiso en el Mac de otra persona. Ese alguien puede subir malware a una web que, al ser visitada, descargaría el código malicioso en el Mac de la víctima dentro de un archivo comprimido en formato ZIP. Problema: Safari descomprime esos archivos automáticamente por defecto.
Y una vez descomprimido, el malware registraría en macOS su propio URL handler que se usaría posteriormente para lanzar la aplicación maliciosa. Sí, el usuario tiene que dar autorización, pero es relativamente fácil escribir un texto engañoso en esa petición para que la víctima ceda. Y ya tenemos todo el sistema comprometido.
Cómo protegernos ante esta vulnerabilidad
Lo mejor que siempre podemos hacer para evitar esto es vigilar bien por dónde se navega, verificando siempre que la página cumple con el estándar seguro HTTPS. Verificar que no estamos navegando por webs que simulan ser otras es clave para no estar expuestos a este tipo de vulnerabilidades.
Otra cosa que puedes hacer como medida preventiva es evitar que Safari descomprima automáticamente los archivos en formato ZIP que descargue. Basta con que abras las preferencias del navegador y, en su pestaña principal, desactivar la opción 'Abrir archivos "seguros" al descargarlos'. Punto positivo para Apple por poner las comillas en "seguros", ya que esta misma noticia confirma que no todo es lo que parece.
Es muy probable que Apple emita un parche que anule esta vulnerabilidad en una futura actualización de Safari o de macOS, sobre todo ahora que una investigación ha hecho público este agujero de seguridad.
En Applesfera | WhatsApp no guarda una copia de seguridad cifrada en iCloud, pero Apple sí que se encarga de protegerla
Ver 2 comentarios