Los piratas informáticos están desarrollando tácticas multiplataforma más complejas para aprovechar la base de usuarios de Mac cada vez mayor, y las últimas apuntan al marco TCC.
La reputación de Mac por su sólida seguridad es un activo valioso y una responsabilidad preocupante. A medida que más empresas adoptan la plataforma, se convierte en un objetivo mayor para los piratas informáticos.
La arquitectura de seguridad de macOS incluye el marco de Transparencia, Consentimiento y Control (TCC), cuyo objetivo es proteger la privacidad del usuario mediante el control de los permisos de las aplicaciones. Sin embargo, hallazgos recientes de Interpres Security muestran que el TCC se puede manipular para hacer que los Mac sean vulnerables a ataques.
El marco TCC gestiona los permisos de la aplicación en Mac OS para salvaguardar la información confidencial y la configuración del sistema. Desafortunadamente, las vulnerabilidades dentro de TCC permiten el acceso no autorizado al sistema.
Los piratas informáticos se dirigen cada vez más a usuarios corporativos, como desarrolladores e ingenieros, utilizando tácticas como la ingeniería social.
TCC ha tenido vulnerabilidades y deficiencias en el pasado, incluidas modificaciones directas de su base de datos y explotación de debilidades en las protecciones de integridad del sistema. En versiones anteriores, los piratas informáticos podían obtener permisos secretos accediendo y modificando el archivo TCC.db.
Apple introdujo la Protección de Integridad del Sistema (SIP) para contrarrestar este tipo de ataques en macOS Sierra, pero incluso se ha omitido SIP. Por ejemplo, en 2023 Microsoft descubrió una vulnerabilidad de macOS que podría eludir por completo la Protección de integridad del sistema.
Apple ha abordado algunos de estos problemas mediante actualizaciones de seguridad, pero Interpres Security advierte que los atacantes, como el grupo norcoreano Lazarus, continúan centrándose en Mac en entornos corporativos.
Además de TCC, Finder también es un vector de ataque potencial. Finder, de forma predeterminada, tiene acceso a Acceso completo al disco sin aparecer en los permisos de Seguridad y Privacidad, permaneciendo oculto para los usuarios.
Si se concede acceso a la Terminal a Finder, se vuelve permanente a menos que se revoque manualmente. Por lo tanto, un actor podría explotar Finder para obtener control sobre la Terminal y asegurar el acceso al disco.
Cómo mantenerse a salvo contra el abuso de TCC
Se pueden implementar estrategias específicas para proteger los sistemas macOS del abuso de TCC. Mantenga siempre activada la Protección de integridad del sistema y actualice el sistema operativo para abordar las vulnerabilidades.
Además, la implementación del principio de privilegio mínimo por parte de los departamentos de TI corporativos puede limitar los derechos de acceso de los usuarios y las aplicaciones. Ese es el método para garantizar que cada usuario sólo tenga los permisos necesarios para realizar su trabajo.
También es fundamental realizar capacitaciones periódicas sobre concientización sobre la seguridad para educar a los usuarios sobre los intentos de phishing y otras tácticas comunes utilizadas en los ataques de ingeniería social. Los sistemas son tan seguros como su eslabón más débil, que suele ser un error humano.