Exploit Zero-day en Mojave permite a un atacante copiar tus datos privados

El sistema operativo Mojave de Apple acaba de llegar a los usuarios en la rama estable hace unas horas y los investigadores de seguridad ya han encontrado un exploit que podría permitir el acceso sin restricciones a su información privada.

El fallo aprovecha un agujero en la implementación de Apple de una nueva característica de seguridad en macOS, lo que lo hace aún más irónico.

Apple acaba de lanzar la última versión de macOS Mojave al público después de probarla en versión beta desde junio.

Cupertino cree que el nuevo sistema operativo está listo, pero el investigador de seguridad Patrick Wardle dice: "Esperen un momento". No tan rapido."

Wardle, que es un investigador de seguridad que le encanta buscar fallos en el software de Apple, dice que descubrió un exploit Zero-day en macOS Mojave que permitiría a los piratas informáticos acceder a la libreta de direcciones del usuario (entre otras cosas) utilizando una aplicación sin privilegios.

Wardle dijo que el agujero de seguridad es, irónicamente, un subproducto de la implementación de las nuevas protecciones de privacidad introducidas por Apple en Mojave. Las nuevas medidas requieren que los usuarios den permiso para acceder a cosas como datos de ubicación, la libreta de direcciones, archivos de mensajes y otros datos y archivos privados.

Wardle descubrió una forma de eludir esa autorización.

"Encontré un fallo trivial, aunque 100% confiable en su implementación", dijo. El exploit permite que una aplicación no confiable salte las medidas de seguridad sin autorización.

Él dice que el exploit no funciona con todas las características de protección de privacidad en Mojave. Por ejemplo, los componentes de hardware son seguros contra este tipo de ataque, pero las aplicaciones basadas en software como el Calendario están en riesgo.

Apple ha sido notificado de la vulnerabilidad y sin dudas lo abordará en el primer parche de seguridad de Mojave. Mientras tanto, Wardle no dará a conocer detalles sobre el exploit hasta la conferencia Objective by the Sea que ha planeado para noviembre en Hawai.

La vulnerabilidad en un principio parece de bajo riesgo, siempre y cuando no esté ejecutando ninguna aplicación incompleta. Si ese es tu caso, probablemente estés bien usando Mojave. Sin embargo, si usa muchas aplicaciones de terceros, es posible que desee mantener inactivo Mojave hasta que Apple lo repare para estar seguro.

Fuente: Bleeping Computer