Новости Уязвимость macOS TCC позволяла вытащить данные юзера в обход защиты

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.195
Репутация
11.695
Реакции
61.934
RUB
50
Эксперты Microsoft раскрыли детали уязвимости, обнаруженной ими в защитном механизме macOS TCC.

Проблема, уже устраненная Apple, позволяла обойти этого охранника и получить несанкционированный доступ к пользовательским данным. Уязвимости, нареченной HM Surf, присвоен идентификатор CVE-2024-44133



macos_tcc_vuln_add_news.png


Патч вышел в прошлом месяце в составе версии macOS Sequoia 15. Защитник TCC предотвращает доступ приложений к охраняемым ресурсам без согласия пользователя. При первой попытке использования микрофона, камеры либо данных геолокации софт подвергается проверкам на полномочность, и TCC выводит юзеру диалоговое окно с запросом разрешения.

image1macOS%20TCC%20vuln%20add.png


Программы Apple имеют больше привилегий, чем сторонние разработки, и могут вообще не проходить TCC-проверку. Тем не менее Safari при первом визите на сайт, требующий доступа к камере или геолокации, по умолчанию испрашивает согласие пользователя, а затем сохраняет его выбор в папке ~/Library/Safari.

image2macOS%20TCC%20vuln%20add.png


Разработанная исследователями PoC-атака проводится поэтапно: Изменение домашнего каталога текущего пользователя с помощью утилиты dscl. Модификация конфигурационных файлов (хранимых преференций пользователя) в ~/Library/Safari. Откат смены домашнего каталога. Запуск Safari для открытия сайта, которому теперь разрешен доступ к камере, микрофону, геолокации.


Посмотреть вложение 25f4074f-7cc9-4921-96be-9600cd8b0e73_6750.mp4

Похожее подозрительное поведение было недавно замечено у рекламного зловреда AdLoad, однако эксперты не могут с уверенностью сказать, что это следствие эксплойта HM Surf. Ранее команда Microsoft находила в десктопной ОС Apple другие способы обхода защиты — Shrootless, powerdir, Achilles, Migraine.

В недавно вышедшей Sequoia тоже объявился аналогичный баг, его уже взяли на вооружение распространители нового macOS-стилера.


 
Сверху Снизу