Hackers roban fotos de iCloud a través de invitaciones de calendario — ¡no se requieren clics!
**Cómo proteger tu Mac de vulnerabilidades Zero-click en macOS Calendar**
En el mundo de la ciberseguridad, siempre hay nuevas amenazas que acechan a los usuarios de dispositivos electrónicos. Recientemente, un investigador de seguridad descubrió una antigua vulnerabilidad en macOS que permitía a los hackers acceder por completo a la cuenta de iCloud de un usuario, con solo enviar una invitación de calendario.
El investigador Mikko Kenttala encontró una vulnerabilidad de tipo Zero-click en el calendario de macOS que permitía a los atacantes agregar o eliminar archivos en el entorno seguro del Calendario. Esta vulnerabilidad les permitía ejecutar código malicioso y acceder a datos sensibles almacenados en el dispositivo de la víctima, incluidas las Fotos de iCloud.
El exploit comenzaba con el envío de una invitación de calendario que contenía un archivo malicioso adjunto. El nombre de archivo no estaba correctamente saneado, lo que permitía al atacante realizar un ataque de «traversal de directorios», es decir, manipular la ruta del archivo y colocarlo en ubicaciones no deseadas.
La vulnerabilidad (CVE-2022-46723) permitía a los atacantes sobrescribir o eliminar archivos dentro del sistema de archivos de la aplicación Calendario. Por ejemplo, si el atacante enviaba un archivo con el nombre «NOMBRE=../../../archivo_malicioso.txt», este se colocaría fuera de su directorio previsto en una ubicación más peligrosa en el sistema de archivos del usuario.
Los atacantes podrían escalar aún más el ataque utilizando la vulnerabilidad de escritura de archivos arbitrarios. Podrían inyectar archivos de calendario maliciosos diseñados para ejecutar código cuando macOS se actualizaba, especialmente de Monterey a Ventura.
Estos archivos incluían eventos con funcionalidades de alerta que se activaban cuando el sistema procesaba datos de calendario. Los archivos inyectados contenían código para lanzar automáticamente archivos como imágenes .dmg y accesos directos .url, lo que eventualmente llevaba a la ejecución remota de código (RCE).
Finalmente, el atacante podría tomar por completo el control de la Mac sin que el usuario se diera cuenta o interactuara.
Afortunadamente, este hack no es nuevo. Apple lo solucionó en varias actualizaciones desde octubre de 2022 hasta septiembre de 2023. Estas correcciones implicaron reforzar los permisos de archivos dentro de la aplicación Calendario y agregar capas de seguridad adicionales para evitar el exploit de traversal de directorios.
**Cómo protegerte de los ataques Zero-click**
Para protegerte de vulnerabilidades Zero-click como la descubierta en el Calendario de macOS, es crucial seguir algunas medidas de protección. En primer lugar, siempre mantén tu software actualizado.
Apple lanza con frecuencia parches que abordan fallos de seguridad, y activar las actualizaciones automáticas garantiza que obtengas correcciones críticas. Finalmente, fortalece la configuración de seguridad de tu dispositivo restringiendo el acceso de las aplicaciones a datos sensibles, como tu calendario, fotos y archivos.
Con estas precauciones, puedes proteger tu Mac de posibles ataques Zero-click y mantener tus datos seguros.