Microsoft je otkrio detalje o sada zakrpljenom sigurnosnom propustu u Appleovom okviru za transparentnost, pristanak i kontrolu (TCC) u macOS-u koji je vjerovatno bio podvrgnut eksploataciji kako bi se zaobišle korisničke preferencije privatnosti i pristup podacima.
Nedostatak, kodnog naziva HM Surf od strane tehničkog giganta, prati se kao CVE-2024-44133. Apple ga je riješio kao dio macOS Sequoia 15 uklanjanjem ranjivog koda.
HM Surf “uključuje uklanjanje TCC zaštite za direktorij preglednika Safari i modificiranje konfiguracijske datoteke u navedenom direktoriju kako bi se dobio pristup korisničkim podacima, uključujući pregledane stranice, kameru uređaja, mikrofon i lokaciju, bez pristanka korisnika”, Jonathan Bar Or iz Microsoft Threat Intelligence tima rekao je .
Microsoft je rekao da su nove zaštite ograničene na Appleov Safari pretraživač i da radi s drugim glavnim dobavljačima pretraživača na daljem istraživanju prednosti ojačavanja lokalnih konfiguracijskih datoteka.
HM Surf prati Microsoftovo otkriće Apple macOS nedostataka kao što su Shrootless , powerdir , Achilles i Migraine koji bi mogli omogućiti malicioynimm hakerima da zaobiđu sigurnosne mjere.
Dok je TCC sigurnosni okvir koji sprječava aplikacijama da pristupe ličnim podacima korisnika bez njihovog pristanka, novootkrivena greška mogla bi omogućiti napadačima da zaobiđu ovaj zahtjev i dobiju pristup uslugama lokacije, adresaru, kameri, mikrofonu, direktoriju preuzimanja i drugima u na nedozvoljen način.
Pristupom upravlja skup prava, pri čemu Apple-ove vlastite aplikacije kao što je Safari imaju mogućnost da potpuno zaobiđu TCC koristeći pravo “com.apple.private.tcc.allow”.
Iako ovo omogućava Safariju slobodan pristup osjetljivim dozvolama, on takođe uključuje novi sigurnosni mehanizam nazvan Hardened Runtime koji čini izazovnim izvršavanje proizvoljnog koda u kontekstu web pretraživača.
Međutim, kada korisnici po prvi put posjete web stranicu koja traži pristup lokaciji ili kameri, Safari traži pristup putem skočnog prozora nalik TCC-u. Ova prava se pohranjuju na osnovu svake web stranice unutar različitih datoteka koje se nalaze u direktoriju “~/Library/Safari”.
Eksploatacija HM Surf koju je osmislio Microsoft ovisi o izvođenju sljedećih koraka –
- Promjena kućnog direktorija trenutnog korisnika pomoću uslužnog programa dscl , korak koji ne zahtijeva TCC pristup u macOS Sonoma
- Izmjena osjetljivih datoteka (npr. PerSitePreferences.db) unutar “~/Library/Safari” u stvarnom kućnom direktoriju korisnika
- Promjena matičnog direktorija natrag u originalni direktorij uzrokuje da Safari koristi izmijenjene datoteke
- Pokretanje Safarija za otvaranje web stranice koja snima snimak putem kamere uređaja i preuzima lokaciju
Napad bi se mogao dodatno proširiti kako bi se sačuvao cijeli stream kamere ili prikriveno snimio zvuk preko Mac-ovog mikrofona, rekao je Microsoft. Web pretraživači trećih strana ne pate od ovog problema jer nemaju ista privatna prava kao Apple aplikacije.
Microsoft je primijetio da je uočio sumnjivu aktivnost povezanu s poznatom prijetnjom macOS advera pod nazivom AdLoad koja vjerovatno iskorištava ranjivost, zbog čega je neophodno da korisnici preduzmu korake za primjenu najnovijih ažuriranja.
“Pošto nismo bili u mogućnosti da promatramo korake koji su poduzeti do aktivnosti, ne možemo u potpunosti utvrditi da li AdLoad kampanja iskorištava samu ranjivost HM surfovanja”, rekao je Bar Or. “Napadači koji koriste sličnu metodu za postavljanje preovlađujuće prijetnje podižu važnost zaštite od napada pomoću ove tehnike.”
Izvor:The Hacker News