El 18 de octubre de 2024, Microsoft reveló detalles sobre una vulnerabilidad crítica en el marco de Transparencia, Consentimiento y Control (TCC) de macOS, que permite eludir las preferencias de privacidad del usuario en el navegador Safari. Esta vulnerabilidad, conocida como HM Surf y rastreada bajo el código CVE-2024-44133, fue corregida por Apple en su actualización macOS Sequoia 15, eliminando el código vulnerable.
HM Surf permite desactivar la protección TCC del directorio de Safari y modificar un archivo de configuración para acceder a datos del usuario sin su consentimiento. Entre los datos comprometidos están las páginas visitadas, el acceso a la cámara, el micrófono y la ubicación del dispositivo. Esta vulnerabilidad afecta a las configuraciones locales del navegador, lo que ha impulsado a Microsoft a colaborar con otros proveedores de navegadores para endurecer estas configuraciones.
El equipo de Microsoft Threat Intelligence, dirigido por Jonathan Bar Or, informó que el exploit involucra modificar el directorio de inicio del usuario mediante la utilidad dscl (sin necesidad de acceso a TCC), cambiando archivos sensibles como PerSitePreferences.db en la carpeta ~/Library/Safari. Luego, al restaurar el directorio original, Safari utiliza los archivos modificados, permitiendo a los atacantes abrir una página web que pueda tomar capturas a través de la cámara o rastrear la ubicación del usuario.
Este tipo de ataque puede llegar aún más lejos, permitiendo la captura de transmisiones de video completas o grabaciones de audio a través del micrófono de la Mac, todo de forma sigilosa. Afortunadamente, otros navegadores de terceros no están afectados por este problema, ya que no tienen los mismos privilegios que las aplicaciones de Apple.
Este descubrimiento sigue una serie de fallos previos de macOS detectados por Microsoft, como Shrootless, powerdir, Achilles y Migraine, todos ellos permitiendo a actores maliciosos evadir mecanismos de seguridad en el sistema operativo.
Si bien Apple ha parcheado esta vulnerabilidad, Microsoft ha observado actividades sospechosas relacionadas con el adware AdLoad, un conocido malware en macOS que posiblemente esté explotando esta falla. Aunque Microsoft no ha podido confirmar que AdLoad esté utilizando exactamente HM Surf, la similitud en los métodos subraya la importancia de aplicar las últimas actualizaciones de seguridad.
Recomendación: Todos los usuarios de macOS deberían actualizar inmediatamente sus dispositivos a la última versión para protegerse contra este tipo de vulnerabilidades. Además, es fundamental reforzar la seguridad de los navegadores y estar atentos a futuras actualizaciones de otros proveedores, ya que HM Surf es solo un ejemplo más de cómo los atacantes buscan constantemente nuevas formas de evadir las protecciones de privacidad.