14 de septiembre de 2024

Hackers roban fotos de iCloud a través de invitaciones de calendario — ¡no se requieren clics!

Hackers roban fotos de iCloud a través de invitaciones de calendario — ¡no se requieren clics!

**Cómo proteger tu Mac de vulnerabilidades Zero-click en macOS Calendar**

En el mundo de la ciberseguridad, siempre hay nuevas amenazas que acechan a los usuarios de dispositivos electrónicos. Recientemente, un investigador de seguridad descubrió una antigua vulnerabilidad en macOS que permitía a los hackers acceder por completo a la cuenta de iCloud de un usuario, con solo enviar una invitación de calendario.

El investigador Mikko Kenttala encontró una vulnerabilidad de tipo Zero-click en el calendario de macOS que permitía a los atacantes agregar o eliminar archivos en el entorno seguro del Calendario. Esta vulnerabilidad les permitía ejecutar código malicioso y acceder a datos sensibles almacenados en el dispositivo de la víctima, incluidas las Fotos de iCloud.

El exploit comenzaba con el envío de una invitación de calendario que contenía un archivo malicioso adjunto. El nombre de archivo no estaba correctamente saneado, lo que permitía al atacante realizar un ataque de «traversal de directorios», es decir, manipular la ruta del archivo y colocarlo en ubicaciones no deseadas.

La vulnerabilidad (CVE-2022-46723) permitía a los atacantes sobrescribir o eliminar archivos dentro del sistema de archivos de la aplicación Calendario. Por ejemplo, si el atacante enviaba un archivo con el nombre «NOMBRE=../../../archivo_malicioso.txt», este se colocaría fuera de su directorio previsto en una ubicación más peligrosa en el sistema de archivos del usuario.

Los atacantes podrían escalar aún más el ataque utilizando la vulnerabilidad de escritura de archivos arbitrarios. Podrían inyectar archivos de calendario maliciosos diseñados para ejecutar código cuando macOS se actualizaba, especialmente de Monterey a Ventura.

Estos archivos incluían eventos con funcionalidades de alerta que se activaban cuando el sistema procesaba datos de calendario. Los archivos inyectados contenían código para lanzar automáticamente archivos como imágenes .dmg y accesos directos .url, lo que eventualmente llevaba a la ejecución remota de código (RCE).

Finalmente, el atacante podría tomar por completo el control de la Mac sin que el usuario se diera cuenta o interactuara.

Afortunadamente, este hack no es nuevo. Apple lo solucionó en varias actualizaciones desde octubre de 2022 hasta septiembre de 2023. Estas correcciones implicaron reforzar los permisos de archivos dentro de la aplicación Calendario y agregar capas de seguridad adicionales para evitar el exploit de traversal de directorios.

**Cómo protegerte de los ataques Zero-click**

Para protegerte de vulnerabilidades Zero-click como la descubierta en el Calendario de macOS, es crucial seguir algunas medidas de protección. En primer lugar, siempre mantén tu software actualizado.

Apple lanza con frecuencia parches que abordan fallos de seguridad, y activar las actualizaciones automáticas garantiza que obtengas correcciones críticas. Finalmente, fortalece la configuración de seguridad de tu dispositivo restringiendo el acceso de las aplicaciones a datos sensibles, como tu calendario, fotos y archivos.

Con estas precauciones, puedes proteger tu Mac de posibles ataques Zero-click y mantener tus datos seguros.

Publicaciones relacionadas:

Hackers roban registros telefónicos de «Casi todos» los clientes de AT&T Con esta nueva herramienta, cambia fácilmente de Google Fotos a Fotos de iCloud Google destaca las capacidades de inteligencia artificial Gemini del Pixel 9 que no requieren ‘entregar a proveedores de IA que quizás no conozcas o confíes’ El Show de MacRumors: Invitaciones al Evento \’Glowtime\’ y Macs M4 Título SEO en Español: Apple soluciona la interrupción prolongada de iCloud Private Relay Título traducido al español: Apple corrige la interrupción prolongada de iCloud Private Relay Problemas de conexión en iCloud Mail y iCloud Web Apps: soluciones y consejos iOS 18 añade nuevas funciones de correo iCloud y traducido al español: iOS 18 añade nuevas características de correo iCloud. Authy hackeado, roban 33 millones de números de teléfono iOS 18 Agrega Álbum ‘Recuperado’ en Fotos para Restaurar Fotos y Videos Perdidos o Dañados – Novedad de la Última Actualización – SEO Principales noticias: Evento del iPhone 9 de septiembre, herramienta de limpieza de fotos iOS 18.1 y más – Traducción al Español: Evento del iPhone 9 de septiembre, herramienta de limpieza de fotos iOS 18.1 y más iOS 18: Cambios en el diseño de la aplicación Calendar e integración de recordatorios – Título SEO: Novedades en la app Calendario de iOS 18 y su integración con Recordatorios Los recordatorios en iOS 18 ahora pueden vivir dentro de la aplicación de Calendario, uniendo dos herramientas clave de productividad
Autor:
Publicado en: Sin categoría

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *