En la conferencia de seguridad de Virus Bulletin, en Montreal, Thomas Reed, investigador de seguridad de Malwarebytes, ha referido un defecto crítico en los sistemas MacOS, en el manejo de las firmas de código.
Desconocido por la mayoría de los usuarios y administradores de Mac, el defecto permite una falsa sensación de seguridad, ya que macOS verifica las firmas de código con muy poca frecuencia, por lo que es fácilmente posible secuestrar una aplicación legítima que ya está instalada en el sistema sin desencadenar ningún tipo de verificación de firma de código.
Típicamente el sistema macOS verifica la firma de código para asegurar que no se trata de malware conocido. Al pasar la verificación de la firma de código, la aplicación es considerada por el sistema como software confiable y ya no se verifica más. Y aquí está el problema, ya que no volverá a comprobarse por su confiabilidad, por lo que los ciberdelincuentes pueden aprovechar para infectar casi cualquier aplicación que ya se esté ejecutando en la máquina. Basta con reemplazar el ejecutable legítimo con una copia maliciosa, y cambiarle el nombre del original por otro.
El problema tiende a crecer debido a que la mayoría de los desarrolladores no agregan sus propias autocomprobaciones de firma de código, existiendo innumerables aplicaciones Mac vulnerables en el mercado.
Aunque no hay malware que se aproveche de este problema, es previsible que lo haya en el futuro. Según Reed, el fallo ha estado presente desde OS X Leopard, lanzado en 2007.
La responsabilidad por el momento recae en los desarrolladores para que garanticen aplicaciones no vulnerables por dicho defecto.