En Mac, cuando una aplicación quiere tener acceso a datos privados del usuario debe pedir permiso a través de una ventana emergente, y solo si hacemos click en "Ok", el sistema se lo concede. Pero, como demostró un investigador recientemente, es posible crear clicks artificiales o "sintéticos" que se salten esa protección.

Lo curioso es que, aunque macOS Mojave expandió sus protecciones justo para evitar que se pudieran crear esos clicks sintéticos y actualmente los bloquea todos requiriendo que el usuario haga click en un botón de forma física, existe una lista blanca de aplicaciones aprobadas que tienen permitido crear esos clicks y que puede ser explotada.

En Genbeta

CleanMyMac X, análisis: una perfecta evolución de la herramienta ideal para gestionar todos los recursos de tu Mac

La lista blanca de aplicaciones no está documentada, y esas apps tienen permitido crear clicks sintéticos para no dejar de funcionar. Ahora, aunque las aplicaciones deben están firmadas con un certificado digital que prueba su autenticidad y previene que sean ejecutadas en caso de que hayan sido modificadas para incluir malware, un bug en el código de macOS causa que el sistema solo verifique si el certificado fue firmado, más no verifica si la app ha sido modificada.

Usando una versión manipulada de VLC para acceder a la información privada de un usuario

Una de esas aplicaciones es VLC, que como muchos saben, es un …