Una falla de derivación en el subsistema de Transparencia, Consentimiento y Control (TCC) de FileProvider dentro del sistema operativo iOS de Apple podría dejar los datos de los usuarios peligrosamente expuestos, según investigadores de Jamf Threat Labs.
El problema, con el código CVE-2024-44131, fue solucionado con éxito por Apple en septiembre de 2024 y Jamf, a cuyos investigadores se les atribuye su descubrimiento, lo está divulgando formalmente hoy. También afecta a los dispositivos macOS, aunque los investigadores de Jamf se han centrado en el ecosistema móvil, ya que estos estados suelen descuidarse durante las actualizaciones.
CVE-2024-44131 es de particular interés para los actores de amenazas porque, si se explota con éxito, puede permitirles acceder a información confidencial almacenada en el dispositivo objetivo, incluidos contactos, datos de ubicación y fotografías.
TCC es un “marco de seguridad crítico”, explicó el equipo de Jamf, que solicita a los usuarios que concedan o denieguen solicitudes de aplicaciones específicas para acceder a sus datos, y CVE-2024-44131 permite a un actor de amenazas eludirlo por completo, si pueden convencer a sus clientes. víctima para descargar una aplicación maliciosa.
“Este descubrimiento pone de relieve una preocupación de seguridad más amplia, ya que los atacantes se centran en datos y propiedad intelectual a los que se puede acceder desde múltiples ubicaciones, lo que les permite centrarse en comprometer los sistemas conectados más débiles”, dijo el equipo.
“Servicios como iCloud, que permiten la sincronización de datos entre dispositivos de muchos factores de forma, permiten a los atacantes intentar explotar una variedad de puntos de entrada mientras buscan acelerar su acceso a datos y propiedad intelectual valiosos”.
como funciona
En el centro del problema se encuentra la interacción entre Apple Files.app y el proceso del sistema FileProvider al administrar las operaciones de archivos.
En el exploit demostrado, cuando un usuario involuntario mueve o copia archivos o directorios con Files.app dentro de un directorio al que puede acceder la aplicación maliciosa que se ejecuta en segundo plano, el atacante obtiene la capacidad de manipular un enlace simbólico, o enlace simbólico, un archivo que existe únicamente especifica una ruta al archivo de destino.
Por lo general, las API de operación de archivos buscarán enlaces simbólicos, pero generalmente aparecen en la parte final de la ruta antes de comenzar la operación, por lo que si aparecen antes (como es el caso en esta cadena de exploits), la operación omitirá estas comprobaciones.
De esta manera, el atacante puede utilizar la aplicación maliciosa para abusar de los privilegios elevados proporcionados por FileProvider para mover o copiar datos en un directorio que controla sin ser detectado. Luego pueden ocultar estos directorios o cargarlos en un servidor que controlen.
“Lo más importante”, dijo el equipo de Jamf, “toda esta operación se produce sin activar ningún mensaje de TCC”.
La defensa más eficaz contra este fallo es aplicar los parches de Apple, que están disponibles desde hace un par de meses. Es posible que los equipos de seguridad también deseen implementar un monitoreo adicional del comportamiento de las aplicaciones y la protección de los terminales.
El vicepresidente de estrategia de Jamf, Michael Covington, advirtió que debido a que las actualizaciones también incluían soporte para Apple Intelligence, una serie de funciones de inteligencia artificial (IA) para dispositivos iOS, la “cautela” en torno a esta función podría haber llevado a algunas organizaciones a postergar la aplicación de las actualizaciones con el parche necesario, dejando el vector de ataque abierto a la explotación.
“Este descubrimiento es una llamada de atención para que las organizaciones creen estrategias de seguridad integrales que aborden todos los puntos finales”, dijo el equipo.
“Los dispositivos móviles, al igual que los ordenadores de sobremesa, son partes fundamentales de cualquier marco de seguridad. Ampliar las prácticas de seguridad para incluir terminales móviles es esencial en una era en la que los ataques móviles son cada vez más sofisticados”.