WWDC2022-2023 - не единственная серьезная новость на рабочих столах инженеров Apple сегодня утром.
При правильном использовании вредоносное приложение может обмануть ваш MacBook или любой другой нынешний Mac, заставив думать, что это вы, и делать все, что захочет. Исследователь безопасности Патрик Уордл, главный исследователь Digita Security, вчера (2 июня) на конференции в Монако, получившей название Objective by the Sea, обнаружил лазейку в безопасности macOS.
К сожалению, Apple еще не исправила этот недостаток, и Уордл сообщил об этом компании только на прошлой неделе. Чтобы защитить себя, вам нужно быть очень осторожным с приложениями, которые вы загружаете прямо из Интернета. Вместо этого было бы лучше придерживаться официального Mac App Store.
Призрачные щелчки
По словам Уордла, проблема заключается в том, что Apple позволяет нескольким устаревшим приложениям (в основном более старым версиям текущих приложений, таким как популярный медиаплеер VLC) продолжать использовать «синтетические щелчки» - функцию, которая позволила приложениям обходить последние препятствия безопасности Apple. имитируя авторизованного пользователя, разрешение которого необходимо для выполнения определенных действий.
Согласно EclecticLight.co, список устаревших приложений, которые Apple включила в белый список для использования синтетических кликов, включает старые версии Steam, VLC, Sonos Mac Controller и Logitech Manager.
После того, как прошлым летом Уордл и другие исследователи продемонстрировали, как синтетические клики могут использоваться для атаки на Mac, Apple закрыла дверь для этой функции с помощью macOS Mojave. Но для того, чтобы старые приложения продолжали работать - Уордл предупреждал, что полное уничтожение синтетических кликов «сломает многие легитимные приложения», - от этих старых приложений было отказано.
«Для исследователя неприятно постоянно находить способы обойти защиту Apple», - сказал Уордл Threatpost. «Было бы наивно думать, что нет других хакеров или изощренных противников, которые также нашли бы подобные дыры в защите Apple».
Не проверяя камеры
У Apple есть еще одна гарантия. Он разрешает использовать синтетические клики только приложениям из белого списка Apple, независимо от того, являются ли эти приложения устаревшими или нет. Проблема в том, что процесс проверки глубоко ошибочен.
MacOS проверяет приложения только путем проверки их цифровых подписей, а не путем фактической проверки кода внутри этих приложений или проверки того, что они не загружают дополнительный код после запуска. Вчера Уордл подтвердил свои опасения, внедрив в VLC вредоносный плагин, который может выполнять синтетические клики - фальшивые действия пользователя, - которые Apple обычно блокирует в приложениях.
Представьте себе агента службы безопасности TSA, который только проверяет ваше удостоверение личности и не проталкивает ваш багаж через лоток для сканирования. Вот в чем проблема.
«То, как они реализовали этот новый механизм безопасности, сломано на 100 процентов», - сказал Уордл Wired. «Я могу обойти все эти новые меры конфиденциальности в Мохаве».
Обманывать пользователя
Нетрудно заставить пользователей установить приложения, которые были повреждены и использовались против пользователя. Яркий пример этого произошел в реальной жизни в марте 2016 года с популярным клиентом BitTorrent Transmission.
Злоумышленнику, возможно, даже не нужно никого вводить в заблуждение. В 2016 году Уордл показал, как поврежденное обновление легального программного обеспечения, которое уже было установлено пользователем - в этом примере Kaspersky Internet Security для Mac - может обойти все механизмы безопасности Apple, чтобы заразить Mac.
Небрежные методы обеспечения безопасности
О последнем выступлении Уордла сообщили несколько СМИ, в том числе The Register.
Как это случилось? Уордл сказал The Register, что «если бы какой-либо исследователь безопасности или кто-то в Apple с мышлением безопасности проверил этот код, они бы его заметили. Как только вы увидите эту ошибку, это будет тривиально»,
«Они не проверяют код», - добавил он. «Они внедряют эти новые функции безопасности, но на самом деле они часто внедряются неправильно».
- Почему WWDC откроет новую эру для Apple