Tras dos semanas de intenso escrutinio de la seguridad de OS X provocado por el descubrimiento de dos gusanos y una vulnerabilidad que fue calificada como “extremadamente crítica” por la compañía de seguridad informática Secunia, Apple lanzaba la semana pasada un parche destinado a solucionar un total de 20 agujeros que, al parecer, no soluciona completamente un grave flaw de Mac OS X.
La actualización añadía al navegador Safari, a Apple Mail y a iChat una función llamada “validación de descarga” que avisa al usuario cuando una descarga puede ser maliciosa. Hasta entonces, si un usuario de Mac OS X clicaba en un link malicioso, el código atacante se descargaba y ejecutaba automáticamente, sin ningún aviso. Tras este fix, al clicar aparecerá un aviso y no se ejecutará el código de manera automática. Algunas voces críticas afirman que este aviso es demasiado vago y que, dada la impulsividad que muestran los internautas al navegar, es probable que ignoren el aviso una vez éste haya saltado varias veces.
Sin embargo, Apple falló en una parte clave del problema: el fix debería haberse situado en un nivel más bajo del sistema operativo. Según los expertos, sigue siendo posible que los hackers construyan una aplicación que aparente ser un archivo seguro, como una imagen o una película y que el usuario, ante su apariencia inofensiva, acepte abrirlo.
La vulnerabilidad no resuelta se debe a un problema del Mac OS Finder, el componente del sistema operativo utilizado para visionar y organizar archivos. El sistema operativo asigna un icono a cada archivo basándose en su extensión. Sin embargo, decide qué aplicación gestionará el archivo basándose en unos metadatos que se almacenan de manera separada al mismo archivo. Según este método, un archivo malicioso puede ser enmascarado para que parezca inocente (por ejemplo, una imagen JPEG) y ser así abierto y ejecutado. Finder permite al usuario averiguar si el archivo es un ejecutable mediante un click en el botón derecho del ratón, pero la mayor parte de los usuarios no hará esta comprobación.
Además, el aviso sólo funciona para Safari, Apple Mail e iChat, y no para otros programas que permiten la recepción de archivos, como Firefox, Thunderbird, Yahoo Messenger o LimeWire. Apple no ofrece salvavidas para estas aplicaciones, y reconoce que añadir una mayor validación, quizás a un nivel más profundo del sistema operativo, podría ayudar a proteger a los usuarios de este tipo de programas.
Asimismo, Safari no lanzará esta alerta si, tal y como se recomendó tras las noticias aparecidas en las últimas semanas, el usuario tiene desabilitada en el navegador la opción “Abrir archivos seguros tras la descarga”.
Desde Apple se ha reconocido que “es desde luego posible en Mac y en cualquier plataforma crear una aplicación que simule ser algo que no es. Esa es la misma definición de un troyano”. Según Philip Schiller, vicepresidente de márketing de producto de Apple, “hay troyanos en el mundo, todavía tengo que ver uno que tenga éxito con los Macs, pero los troyanos existen”.
Michael Lehn, investigador en la Universidad de Ulm (Alemania), considera positivo que Apple haya lanzado este parche, aunque se haya demostrado incompleto: “En mi opinión, es mejor hacer varias actualizaciones. Apple solucionó la parte seria muy rápidamente, y eso es bueno”.
Según Cybertrust, “es cierto que esta actualización de seguridad no significa que los Macs sean invulnerables”. “Sin embargo, Apple ha puesto algunas cosas en su lugar para ayudar a los usuarios a detectar archivos cuestionables… no hay necesidad de espantarse por esto”.
Lo cierto es que esta vulnerabilidad lleva años existiendo y no han aparecido códigos maliciosos que intenten aprovechar este flaw que Apple ha intentado arreglar en diversas ocasiones.
Fuente: News.com [1]