28 de noviembre de 2022

Un error en Apple MacOS Ventura rompe herramientas de seguridad de terceros

El lanzamiento del nuevo sistema operativo macOS 13 Ventura de Apple el 24 de octubre trajo una gran cantidad de nuevas funciones a los usuarios de Mac, pero también está causando problemas a quienes confían en programas de seguridad de terceros como escáneres de malware y herramientas de monitoreo.

En el proceso de parchear una vulnerabilidad en la 11a versión beta del desarrollador Ventura, lanzada el 11 de octubre, Apple introdujo accidentalmente una falla que corta los productos de seguridad de terceros del acceso que necesitan para hacer sus escaneos. Y aunque hay una solución alternativa para otorgar el permiso, aquellos que actualizan sus Mac a Ventura pueden no darse cuenta de que algo anda mal o que se necesita la información para solucionar el problema.

Apple dijo que resolverá el problema en la próxima actualización de software de macOS, pero se negó a decir cuándo sería. Mientras tanto, los usuarios no pueden ignorar que sus herramientas de seguridad de Mac no funcionan como se esperaba. La confusión ha dejado a los proveedores de seguridad de terceros luchando por comprender el alcance del problema.

“Por supuesto, todo esto coincidió con que lanzamos una versión beta que se suponía que era compatible con Ventura,” dice Thomas Reed, director de Mac y plataformas móviles en el fabricante de antivirus Malwarebytes. “Así que estábamos recibiendo informes de errores de los clientes de que algo andaba mal, y estábamos como, ‘ crap, acabamos de lanzar una beta defectuosa. ’ Incluso sacamos nuestra beta de circulación temporalmente. Pero luego comenzamos a ver informes sobre otros productos, también, después de que las personas se actualizaron a Ventura, por lo que pensamos, ‘uh oh, esto es malo.’”

Las herramientas de monitoreo de seguridad necesitan visibilidad del sistema, conocido como acceso completo al disco, para realizar sus escaneos y detectar actividades maliciosas. Este acceso es significativo y debe otorgarse solo a programas confiables, ya que podría ser abusado en las manos equivocadas. Como resultado, Apple requiere que los usuarios pasen por múltiples pasos y se autentiquen antes de otorgar permiso a un servicio antivirus o herramienta de monitoreo del sistema. Esto hace que sea mucho menos probable que un atacante pueda eludir de alguna manera estos obstáculos o engañar a un usuario para que, sin saberlo, otorgue acceso a un programa malicioso.

Sin embargo, el investigador de seguridad de macOS desde hace mucho tiempo, Csaba Fitzl, descubrió que, si bien estas protecciones de configuración eran robustas, podía explotar una vulnerabilidad en la protección de privacidad del usuario de macOS conocida como Transparencia, Consentimiento, y Control para desactivar o revocar fácilmente el permiso una vez otorgado. En otras palabras, un atacante podría desactivar las herramientas en las que confían los usuarios para advertirles sobre actividades sospechosas.

Apple intentó corregir la falla varias veces a lo largo de 2022, pero cada vez, dice Fitzl, pudo encontrar una solución para el parche de la compañía. Finalmente, Apple dio un paso más en Ventura e hizo cambios más completos en la forma en que administra el permiso para los servicios de seguridad. Al hacerlo, sin embargo, la compañía cometió un error diferente que ahora está causando los problemas actuales.

“Apple lo arregló, y luego omití la solución, por lo que la arreglaron nuevamente, y lo omití nuevamente,” Fitzl dice. “Fuimos de un lado a otro como tres veces, y finalmente decidieron que rediseñarán todo el concepto, lo que creo que era lo correcto. Pero fue un poco desafortunado que saliera en la versión beta de Ventura tan cerca del lanzamiento público, solo dos semanas antes. No había tiempo para estar al tanto del problema. Simplemente sucedió.”

Si usa un escáner de seguridad en su Mac y actualiza a macOS Ventura, verifique el programa directamente para ver si está marcando un error. La solución para solucionar el problema es simple una vez que sepa hacerlo. En Preferencias del sistema, vaya a Seguridad y privacidad, luego a la pestaña Privacidad y luego a Acceso completo al disco. Haga clic en el icono de bloqueo en la esquina inferior izquierda de la pantalla y autentíquelo con la contraseña de su sistema para permitir cambios. Luego, desactive la casilla junto a los servicios de seguridad que no funcionan correctamente, para informarle al sistema que desea deshabilitar su permiso. Haga clic nuevamente en el bloqueo en la esquina inferior izquierda para guardar el cambio, luego vuelva a hacer el proceso y vuelva a verificar los cuadros relevantes para permitir recientemente el permiso sin la falla.

“Una vez que actualice a Ventura, podría ejecutar un escaneo Malwarebytes, pero no escanearía todo lo que pudiera si tuviera acceso completo al disco, y todas las características de protección en tiempo real están completamente deshabilitadas, dice Reed de Malwarebytes. “Nos perjudican si no tenemos acceso completo al disco. Y hay varias maneras en que podría saber si Malwarebytes no funciona correctamente, pero si no está buscando en los lugares correctos o si deshabilitó ciertas configuraciones, Puede que no te des cuenta. Con otros clientes de seguridad, probablemente sea similar, si no está interactuando con él, es posible que no lo sepa.”

Los investigadores notaron y Apple lo confirmó, que el error no ocurre cuando las grandes organizaciones usan el programa de administración de dispositivos móviles “de Apple para actualizar su flota de dispositivos a Ventura. Esto es significativo, porque si el error se transfiere a los dispositivos empresariales administrados, significaría otra razón más para que las empresas pospongan actualizaciones importantes de software.

El investigador de seguridad de MacOS, Patrick Wardle, fundador de la Fundación Objective-See, dice que todavía recomienda que los usuarios habituales actualicen sus Mac a Ventura para obtener otras protecciones de seguridad y privacidad del nuevo sistema operativo. Mientras tanto, Wardle dice que ha sido inundado por informes de errores sobre su herramienta gratuita de monitoreo de malware de código abierto, BlockBlock. El error de Ventura incluso hace que parezca que los servicios de seguridad como BlockBlock y Malwarebytes han recibido acceso adicional al sistema más allá de lo que solicitan estos programas, incluido el permiso de accesibilidad, el acceso a la supervisión de entrada, e incluso grabación de pantalla.

“Los usuarios me preguntaban comprensiblemente, ‘¿Por qué su herramienta necesita eso?’ Y estoy como, ‘Uh, no tengo idea. ¡No lo hace!’” Wardle dice. “Muestra que cuando Apple está lanzando correcciones de seguridad para errores reportados, todavía están luchando por hacerlo de manera integral y exitosa sin romper otras cosas. Y en este caso, están enviando una versión de su sistema operativo que está rompiendo las herramientas de seguridad para millones, si no decena de millones, de usuarios. Es frustrante y desalentador.”

El investigador independiente Fitzl, quien presentó sus hallazgos originales de vulnerabilidad de permisos de desactivación en Black Hat Asia en mayo y la conferencia de seguridad Objective-See Mac y iOS de Wardle a principios de octubre, dice que simpatiza con el paso en falso.

“Apple estaba tratando de rediseñar esto para arreglar todos mis desvíos, y cometieron un error, sucede,” dice. Pero agrega, con tristeza, que toda la situación se ha desarrollado de una manera desafortunada. “Me sentí un poco raro con todos estos problemas y sabiendo que empujé a Apple a esto porque estaba tratando de arreglar algo más.”