Vulnerabilidad de ventana emergente de permisos de macOS: TCC, ¿quién?
Una vulnerabilidad de macOS parcheada recientemente, CVE-2025-31250, permitía a las aplicaciones falsificar ventanas emergentes de permisos del sistema, engañando a los usuarios para que otorgaran acceso no autorizado. Los atacantes explotaron un fallo en los eventos de Apple y en el sistema de Transparencia, Consentimiento y Control (TCC), separando la aplicación que se mostraba en la ventana emergente de la aplicación que realmente recibía los permisos. Esta vulnerabilidad aprovechaba un error lógico en el demonio TCC al manejar las solicitudes de permisos de eventos de Apple, evitando la necesidad de crear aplicaciones falsas o anular los accesos directos del Dock. La vulnerabilidad se ha parcheado, pero destaca la complejidad y los riesgos potenciales en la gestión de permisos del sistema.