La robusta cadena de suministro de Apple podría estar produciendo nuevas Macs con una vulnerabilidad grave. Teniendo en cuenta el prestigio del gigante de Cupertino, resulta extraño que esto ocurra, sin embargo, los investigadores de seguridad han descubierto que existe una manera de hackear los Macs nuevos antes de los usuarios inicien sesión por primera vez.

La vulnerabilidad afecta a las Macs de uso empresarial que forman parte del programa de inscripción de dispositivos de Apple (MDM) y su plataforma de gestión de dispositivos móviles. Estas herramientas permiten a las compañías personalizar los ordenadores para sus empleados directamente desde Apple. Pese a ello, un error de configuración en el sistema podría permitir a los hackers cargar malware en las Macs de manera remota.

Así lo explicó Jesse Endahl, director de seguridad de la firma Mac Fleetsmith, junto a Max Bélanger, ingeniero en Dropbox, quienes demostraron la falla durante la conferencia Black Hat, celebrada en Las Vegas. Según Wired, Endahl explicó:

Encontramos un error que nos permite poner en peligro el dispositivo e instalar un software malicioso antes de que el usuario siquiera inicie sesión por primera vez (…) En el momento en que inician sesión, cuando ven el escritorio, el ordenador ya está comprometido.

Los investigadores descubrieron que cuando los ordenadores Mac de una compañía utilizan MDM para ver qué aplicaciones instalar desde la Mac App Store, no existe ningún anclaje de certificado que permita verificar la autenticidad del documento. De esta manera, los hackers podrían utilizar un exploit ‘man-in-the-middle’ para perpetrar un ataque de intermediario e instalar apps maliciosas para acceder a los datos del equipo.

Por si fuera poco, el error podría ser utilizado para hackear los ordenadores de la compañía completa. De momento, Apple fue notificado del inconveniente y solucionó la vulnerabilidad en macOS High Sierra 10.13.6, sin embargo, los dispositivos que se enviaron con versiones anteriores del sistema operativo aún son vulnerables.