Apple añadió una interesante característica de seguridad a OS X llamada Gatekeeper allá por 2012, el cortafuegos integrado de OS X, orientada a proteger al máximo posible a los usuarios de aquellas aplicaciones que pudieran representar una potencial amenaza de seguridad. Pero lo cierto es que, al igual que toda solución software, no está exenta a su vez de problemas de seguridad.
Uno que se detectó el año pasado es que es fácil saltarse la seguridad de Gatekeeper, y ha vuelto a salir a la luz. El descubridor del fallo ha descubierto que Apple no ha solucionado el problema, si no que se ha limitado a bloquear ciertas aplicaciones, y sólo le ha llevado al autor del descubrimiento cinco minutos en volver a saltarse la protección de Gatekeeper.
El problema en cuestión
Lo que realiza esta protección es contrastar la firma de la aplicación con las de los desarrolladores aprobados por Apple. El problema llega cuando esta aplicación se empaqueta (una imagen de disco de Apple, un archivo de extensión .dmg) con otros archivos.
La aplicación principal del paquete es aprobada por Gatekeeper, y la principal entonces ejecuta una aplicación secundaria del paquete, pero esa aplicación no es contrastada por Gatekeerp. Por tanto, si en el empaquetado se coloca como aplicación secundaria una que sea malware, se ejecutará infectando el equipo. Lo único que hay que hacer por tanto es buscar una aplicación aprobada que ejecuta una segunda aplicación de un .dmg para infectar de malware un equipo.
Aquí la cuestión está en la de siempre: bajarte archivos de sitios de dudosa reputación. Es el mayor problema de seguridad que tiene Android, Windows, OS X y cualquier otro sistema operativo: el usuario. Si te bajas una aplicación de la App Store o de las páginas de los desarrolladores, y es un desarrollador de confianza, este problema de seguridad queda reducido a lo necio que sea el usuario.
Aunque eso sí, Apple haría bien en realizar comprobaciones de seguridad secundarias en los ejecutables contenidos en los archivos de imágenes para solventar este potencial problema de seguridad. Al fin y al cabo si ofertas una solución de seguridad y los usuarios creen que es ciertamente segura, este tipo de baipases son contraproducentes (y potencialmente terminan en los juzgados).
Vía: Ars Technica.
