Microsoft ha emitido una advertencia a millones de usuarios de Apple sobre una peligrosa amenaza de hacking que podría comprometer sus datos privados. La amenaza, conocida como «HM Surf», ya ha sido explotada, permitiendo a los atacantes acceder de manera no autorizada a datos protegidos de los usuarios, incluyendo páginas web visitadas, la cámara del dispositivo, el micrófono y la ubicación, todo sin que el usuario lo sepa. El ataque está dirigido a usuarios de macOS, especialmente aquellos cuyos dispositivos están gestionados a través de un sistema de gestión de dispositivos móviles (MDM), lo que supone un mayor riesgo para usuarios empresariales.
El exploit funciona al evadir la protección de Transparencia, Consentimiento y Control (TCC) dentro de Safari. Esto permite a Safari acceder a los datos del dispositivo de manera ilícita y entregarlos a los atacantes. «Compartimos nuestros hallazgos con Apple», señaló Microsoft, lo que llevó al lanzamiento de una solución identificada como CVE-2024-44133 como parte de las actualizaciones de seguridad para macOS Sequoia.
Se insta a todos los usuarios de macOS a instalar esta actualización de inmediato. Microsoft también destacó que, actualmente, solo Safari utiliza las nuevas protecciones proporcionadas por TCC. La compañía ahora está colaborando con otros grandes desarrolladores de navegadores para investigar los beneficios de reforzar los archivos de configuración locales.
Los investigadores de seguridad encontraron que los archivos de configuración relevantes de Safari se almacenaban en el directorio de inicio del usuario, lo que permitía modificarlos para eliminar las protecciones de TCC. Esto dejaba todo el sistema vulnerable a ataques, a pesar de la lista de permisos de Safari.
Alerta de Microsoft: solución urgente para el exploit de Safari
TCC está diseñado para proteger tus datos privados de las aplicaciones que se ejecutan en tu máquina, incluyendo servicios como la ubicación, la cámara, el micrófono y el directorio de descargas, sin tu consentimiento previo. Cuando una aplicación requiere acceso, debería aparecer un mensaje emergente solicitando permiso específico. Microsoft explicó que «Apple reserva algunos derechos especiales para sus propias aplicaciones, conocidos como private entitlements.
Safari, el navegador predeterminado en macOS, tiene permisos muy potentes de TCC.» Estos permisos otorgan a Safari acceso a funciones sensibles del dispositivo, evadiendo las comprobaciones normales de acceso de TCC para estos servicios. En un escenario real, un atacante podría realizar actividades sigilosas, como guardar un stream completo de la cámara, grabar el micrófono, transmitirlo a otro servidor o acceder a la ubicación del dispositivo. Otros navegadores como Google Chrome, Mozilla Firefox o Microsoft Edge no tienen los mismos permisos especiales que las aplicaciones de Apple, lo que significa que no pueden evadir las comprobaciones de TCC.
Si estos navegadores necesitan acceso a dichas funciones, los usuarios verán un mensaje emergente solicitando permiso. Apple ha fortalecido Safari para evitar la modificación de archivos de configuración, y Microsoft está colaborando con otros grandes desarrolladores de navegadores para investigar los beneficios de reforzar los archivos de configuración locales. Mientras que Chromium y Firefox aún no han adoptado las nuevas API, Chromium está avanzando hacia el uso de os_crypt, que resuelve el ataque de una manera diferente.
Se alienta encarecidamente a los usuarios a aplicar las últimas actualizaciones de seguridad en sus dispositivos macOS para mitigar el riesgo de esta amenaza de hacking. Se recomienda a organizaciones e individuos implementar las actualizaciones de seguridad de manera inmediata y utilizar protecciones basadas en el monitoreo de comportamiento para protegerse contra este tipo de vulnerabilidades de manera efectiva.
