Un bug para engañar a aplicaciones de seguridad haciéndose pasar por software firmado por Apple

Recientemente se ha sabido de la existencia de un bug en algunos programas de seguridad de terceros para Mac, algunos de estos programas provienen de Facebook, Google o VirusTotal y permitirían la aparición de malware simulando ser programas legítimos y firmados por Apple. Cuando un desarrollador firma una aplicación, esto integra en ella una firma que puede utilizarse para verificar que la aplicación es legítima, que no ha sido manipulada y que pertenece a la organización o al developer que esperabas. Algunas herramientas de seguridad se basan en estas firmas para añadir a su “lista blanca” varios programas o ejecutables para asegurar a sus usuarios que no correrán ningún riesgo a la hora de ejecutarlos.

Si el software que queremos instalar está firmado por Apple esto nos generará una sensación de seguridad ya que aparentemente no dañaremos nuestro dispositivo, en cambio si el software que queremos instalar no está firmado nos lo pensaremos dos veces. Según Josh Pitts, investigador de seguridad en Okta, este bug podría utilizarse para desarrollar malware especializado capaz de engañar a varias aplicaciones de terceros haciéndolas pensar que está firmado por Apple. Según Pitts solo sería necesario un archivo FAT malicioso ya que estas aplicaciones no analizan todos los componentes de este tipo de archivos para comprobar si la firma es válida, lo que hacen estos programas es comprobar solo el primero de los binarios del archivo FAT, el cual sí que será legítimo y firmado por Apple, confiando ya en el resto de binarios y añadiéndola a la whitelist.

Figura 1: CVE del bug asociado a la aplicación de Google

Tras su descubrimiento Pitts contactó con Apple para informar a la compañía californiana del problema, a lo que Apple respondió diciendo que los desarrolladores de las aplicaciones de terceros necesitan realizar trabajos adicionales para verificar que todos los binarios de un FAT son legítimos. Después de esto, tanto Okta como Pitts contactaron con el CERT para que este informase del incidente y proporcionase a todas las aplicaciones de terceros un paquete FAT modificado con el que poder probar la seguridad de sus productos. Tras comprobar que se habían visto afectadas, algunas de las compañías, entre las que se encuentran Facebook o Google, lanzaron una actualización de seguridad para solucionar este problema.