Un reciente informe del grupo de ciberseguridad Cisco Talos ha sacado a la luz una serie de vulnerabilidades en las aplicaciones Microsoft Office y Teams diseñadas para el sistema operativo macOS, que podrían comprometer la privacidad de los usuarios al permitir que los atacantes accedan a funciones tan sensibles como la cámara y el micrófono de los dispositivos afectados.
Cisco Talos ha identificado un total de ocho fallos de seguridad en las aplicaciones de Microsoft que operan en macOS, entre las que se incluyen programas ampliamente utilizados como Outlook, Teams, PowerPoint, Excel, Word y OneNote. Estas aplicaciones presentan una concreta vulnerabilidad que los hackers han explotado para acceder indebidamente a recursos que, por diseño, requieren la autorización explícita del usuario, como la cámara y el micrófono.
Según su publicación, el problema radica en cómo algunas de estas aplicaciones gestionan los permisos dentro del marco de transparencia, consentimiento y control (TCC) de Apple. El sistema TCC está diseñado para proteger a los usuarios de macOS al requerir su consentimiento explícito antes de que cualquier app pueda acceder a recursos sensibles. No obstante, los atacantes han encontrado una manera de evadir estas restricciones mediante la técnica conocida como inyección de biblioteca, o más específicamente, inyección de dylib en el contexto de macOS.
La técnica de Inyección de Bibliotecas
La inyección de dylib permite que un programa malicioso introduzca su propio código en una aplicación de confianza. En este caso, al inyectar bibliotecas maliciosas en las aplicaciones de Microsoft, los hackers podían aprovechar los permisos ya otorgados a esas aplicaciones para acceder a recursos como el micrófono y la cámara, sin que el usuario lo sepa.
Por ejemplo, si un usuario había dado permiso a Microsoft Teams para utilizar la cámara y el micrófono, un hacker podría, a través de la inyección de dylib, acceder a esos mismos recursos aunque el usuario no hubiera autorizado explícitamente el uso de dichos dispositivos a la aplicación maliciosa. Esta situación pone en riesgo la privacidad e intimidad de la persona, ya que los atacantes podrían grabar conversaciones y vídeo sin que la persona afectada lo sepa.
Aplicaciones de Microsoft
El problema afecta a la mayoría de las aplicaciones incluidas en la suite Office de Microsoft para macOS, con la excepción de Excel, que no tiene acceso al micrófono y, por tanto, no podría ser utilizado para grabar audio. Sin embargo, las otras aplicaciones mencionadas, como Outlook y OneNote, sí podrían ser explotadas para este fin. Teams, en particular, que tiene acceso tanto a la cámara como al micrófono, es la app que mayor peligro presenta.
Pero, Microsoft ya ha corregido las fallas en dos de las aplicaciones afectadas: Teams y OneNote. Aquellos usuarios que han actualizado estas aplicaciones a sus versiones más recientes ya no deberían estar expuestos a estos riesgos. Sin embargo, el problema persiste en otras aplicaciones como Outlook y Office, que siguen siendo vulnerables.
Cisco Talos ha criticado a Microsoft por desactivar la validación de bibliotecas, una medida que, según ellos, ha dejado a los usuarios de macOS innecesariamente expuestos a estas amenazas. La validación de bibliotecas es una protección en tiempo de ejecución implementada por Apple que verifica la autenticidad de los complementos y evita que el código no autorizado se ejecute dentro de las aplicaciones.
Mejoras en la seguridad de macOS
Además de señalar los problemas en las aplicaciones de Microsoft, Cisco Talos también ha dicho que Apple podría fortalecer aún más la seguridad de macOS. Una posible mejora sería notificar a los usuarios cada vez que se carga un complemento de terceros en una aplicación, sobre todo si esa aplicación ya tiene permisos sensibles como el acceso a la cámara o al micrófono. Así, con esta advertencia, las personas podrían ser más conscientes de los posibles riesgos asociados con la instalación de complementos, ofreciendo una capa adicional de protección contra ataques como los descritos.