Descubren una grave vulnerabilidad en macOS Mojave horas después de lanzarlo

Apple lanzó ayer macOS Mojave 10.14, una gran actualización para el sistema operativo para ordenadores, con grandes novedades como la inclusión de un tema oscuro para todo el sistema. También incluye mejoras para tener más organizado el escritorio, una nueva vista de Galería para ver las previsualizaciones de fotos y vídeo de manera más cómoda, además de otros formatos. Sin embargo, también viene con una grave vulnerabilidad.

El primer grave fallo de macOS Mojave ha tardado horas en aparecer

Esta última versión de macOS Mojave lleva en beta desde junio, y en estos cuatro meses nadie ha descubierto una vulnerabilidad que Patrick Wardle ha tardado horas en encontrar. Este desarrollador es un prolífico descubridor de vulnerabilidades en software de Apple, y en cuestión de horas ha hallado una vulnerabilidad de día cero que permite a un hacker acceder, entre otras cosas, al listado de direcciones de un usuario mediante una aplicación que no necesita tener privilegios de administrador.

En el siguiente vídeo se puede ver cómo funciona la vulnerabilidad. En primera instancia, intenta copiar el contenido de la libreta de direcciones, pero el sistema le bloquea la operación pidiéndole permisos. Ahí, ejecuta la aplicación sin permisos y procede a copiar la libreta, donde se puede ver el contenido de la misma.

Esta vulnerabilidad se da a través de la forma en la que Apple ha implementado las protecciones para diversos datos relacionados con la privacidad. Esta implementación tiene este fallo, que permite acceder a diversos detalles sin permiso. Sin embargo, no afecta a aquellos que tienen una privacidad basada en hardware, como es el caso de componentes como la webcam.

macOS Mojave está a la última en privacidad a pesar de este fallo

Wardle ha publicado la existencia de la vulnerabilidad, pero no ha compartido ningún detalle técnico, para lo cual esperará a la conferencia Mac Security que está organizando en Maui, Hawai, para el mes de noviembre.

A pesar de este fallo, que probablemente será subsanado en cuestión de días, macOS Mojave tiene otras muchas herramientas de protección de privacidad, como tener que dar permiso para dar acceso al sistema a elementos como la ubicación, contactos, calendario, recordatorios, fotos y otra información privada. Esto no se podrá hacer de manera automatizada simulando movimientos humanos, ya que se pedirá permiso y entrada humana para ello. Para reducir las inconveniencias que esto generará, el usuario podrá asignarle permiso a determinadas apps para que puedan acceder a ellos.

Otras novedades de macOS Mojave 10.14 son las acciones rápidas, que permite automatizar acciones para hacerlas más rápido. También es posible crear documentos PDF protegidos por contraseña desde Finder. La herramienta de captura de pantalla se ha mejorado para hacerla más intuitiva. También llegan nuevas apps, como News, Stocks, Voice Memos y Home, y se ha hecho Safari más seguro para que sea más difícil que terceros analicen tu navegación por Internet. La App Store ha sido rediseñada, y la funcionalidad de Actualización ahora está en el panel de Preferencias.

Fuente: Bleeping Computer | adslzone