WWDC2022-2023 не е единствената сериозна новина на бюрата на инженерите на Apple тази сутрин.
Ако бъде експлоатиран правилно, злонамерено приложение може да заблуди вашия MacBook или всякакъв вид настоящ Mac, да мисли, че това сте вие, и да прави каквото иска. Изследователят по сигурността Патрик Уордъл, главен изследовател в Digita Security, разкри вратичка в сигурността на macOS вчера (2 юни) на конференция в Монако, наречена „Обектив край морето“.
За съжаление, Apple все още не е отстранила този недостатък и Wardle каза на компанията едва миналата седмица. За да се защитите, трябва да бъдете много внимателни към приложенията, които изтегляте директно от интернет. По -добре би било вместо това да се придържате към официалния Mac App Store.
Призрачни кликвания
Проблемът, според Wardle, е, че Apple позволява на няколко стари приложения (предимно по -стари версии на настоящи приложения, като популярния VLC медиен плейър) да продължат да използват „синтетични кликвания“, функция, която позволи на приложенията да заобиколят най -новите пречки за сигурността на Apple. като имитира оторизиран потребител, чието разрешение е необходимо, за да позволи определени действия.
Според EclecticLight.co, списъкът с наследени приложения, които Apple е включила в белия списък, за да могат да използват синтетични кликвания, включва стари версии на Steam, VLC, Sonos Mac Controller и Logitech Manager.
След като миналото лято Wardle и други изследователи показаха как синтетичните щраквания могат да бъдат използвани за атака на Mac, Apple затвори вратата на функцията с macOS Mojave. Но за да позволи на наследените приложения да продължат да функционират - Wardle предупреди, че убиването на синтетични кликвания изцяло ще „разбие много законни приложения“ - тези по -стари приложения получиха отказ.
„Това е разочароващо като изследовател непрекъснато да намира начини да заобиколи защитата на Apple“, каза Уордъл пред Threatpost. "Бих бил наивен да мисля, че няма други хакери или сложни противници, които също са открили подобни дупки в защитата на Apple."
Не проверява камерите
Apple има друга защита. Той позволява само на приложения от белия списък на Apple да използват синтетични кликвания, независимо дали тези приложения са наследствени или не. Проблемът е, че процесът на проверка е дълбоко погрешен.
MacOS проверява само приложенията, като проверява техните цифрови подписи, а не като проверява кода вътре в тези приложения или се уверява, че те не зареждат допълнителен код, след като започнат да се изпълняват. Вчера Уордъл доказа опасенията си, като инжектира злонамерен плъгин във VLC, такъв, който може да извършва синтетични кликвания - фалшиви действия на потребителя - които Apple обикновено блокира в приложенията.
Представете си агент по сигурността на TSA, който проверява само вашата лична карта и не плъзга багажа ви през тавата за сканиране. Това е въпросът тук.
„Начинът, по който са внедрили този нов механизъм за сигурност, той е 100 процента счупен“, каза Уордъл пред Wired. „Мога да заобиколя всички тези нови мерки за поверителност на Mojave.“
Заблуда на потребителя
Не е трудно да заблудите потребителите да инсталират приложения, които са повредени и оръжейни срещу потребителя. Основен пример за това се случи в реалния живот през март 2016 г. с популярния клиент за предаване BitTorrent.
Нападателят може дори да не се налага да заблуждава никого. През 2016 г. Wardle показа как повредената актуализация на легитимен софтуер, който потребителят вече е инсталирал - в този пример Kaspersky Internet Security за Mac - може да заобиколи всички механизми за сигурност на Apple, за да зарази Mac.
Небрежни практики за сигурност
Последните беседи на Wardle бяха докладвани от редица търговски обекти, включително The Register.
Как се случи това? Уордъл каза пред The Register, че „Ако някой изследовател по сигурността или някой от Apple с нагласа на сигурност е одитирал този код, те биха го забелязали. След като видите тази грешка, това е тривиално“
„Те не проверяват кода“, добави той. "Yhey прилагат тези нови функции за сигурност, но реалността е, че те често се прилагат неправилно."
- Защо WWDC ще открие нова ера за Apple