Aunque esencialmente no es directamente culpa de Apple, lo cierto es que los usuarios de Mac llevan 11 años con un grave problema de seguridad. Tan grave que, según revelan en ArsTechnica, aplicaciones maliciosas podrían aprovecharse de dicha brecha de seguridad y parece firmadas por Apple, lo no dispararía los sistemas de seguridad del S.O. que evitan que apps de terceros no firmadas puedan abrirse.

Y no solamente podrían saltarse Gatekeeper, el sistema de seguridad incluido en macOS, también a sistemas antivirus dedicados especialmente a la detección de malware, puesto que a ojos de cualquier servicio del sistema operativo dedicado a buscar amenazas, estas aplicaciones pasarían totalmente desapercibidas al estar, ilícitamente, firmadas por Apple.

Esta firma falsa lo que permite a las aplicaciones maliciosas (o a apps piratas, si ir más lejos) estar dentro de una lista blanca que el sistema operativo obvia en materias de seguridad, que está creada especialmente para que tanto usuarios como empresas tengan una lista de aplicaciones verificadas por Apple que cumplen los estándares del sistema:

De acuerdo con los investigadores, el mecanismo que muchas herramientas de seguridad de macOS han utilizado desde 2007 para verificar las firmas digitales ha sido trivial. Como resultado, ha sido posible que alguien pase código malicioso como una aplicación que se firmó con la clave que Apple usa para firmar sus aplicaciones.

Para ser claros, esto no es una vulnerabilidad o un error en el código de Apple ... básicamente es culpa de una documentación poco clara y confusa que llevó a las personas a usar su API incorrectamente",

Parece que el problema principal residía con que Apple no era del todo clara respecto a la documentación que tenían disponibles los desarrolladores para la firma de las aplicaciones, por lo que por una cuestión tan simple se ponía en riesgo la seguridad de los usuarios.

Desde ArsTechnica apuntan a que el problema ya ha sido solucionado y Apple ha aclarado el asunto en la documentación disponible para desarrolladores, por lo que quitando los once años que los usuarios han estado expuestos a este comportamiento por parte de los desarrollares, parece que todo está arreglado.