Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld biografisk den 11. januar 2022 | Emne: Sikkerhed
Microsoft har detaljeret beskrevet, hvordan malware på macOS kan omgå privatlivspræferencer håndhævet af Apples macOS-system kaldet Transparency, Consent, and Control (TCC) til at kontrollere apps' adgang til følsomme brugerdata.
'powerdir'-fejlen, som Apple rettede i sin opdatering den 13. december til macOS op til Monterey, lader en angriber omgå TCC for at få adgang til en brugers beskyttede data.
Fejlen blev opdaget af Microsofts sikkerhedsforsker Jonathan Bar Or. Microsoft er interesseret i macOS-sikkerhed, fordi Defender for Endpoint kan bruges i en virksomhed til at beskytte ikke-Windows-enheder.
Microsofts 365 Defender Research Team noterede i et blogindlæg at Apple introducerede en funktion til at beskytte TCC, der “forhindrer uautoriseret kodeudførelse og håndhæver en politik, der begrænser adgangen til TCC til kun apps med fuld diskadgang.”
Men , Eller opdagede, at det er “muligt programmæssigt at ændre en målbrugers hjemmemappe og plante en falsk TCC-database, som gemmer samtykkehistorikken for app-anmodninger.”
“Hvis den udnyttes på ikke-patchede systemer, kan denne sårbarhed give en ondsindet aktør mulighed for potentielt at orkestrere et angreb baseret på brugerens beskyttede personlige data,” sagde Microsoft.
En angriber kunne kapre en allerede installeret app eller installere sin egen ondsindede app for at få adgang til mikrofonen for at optage private samtaler eller tage skærmbilleder af følsomme oplysninger, der vises på brugerens skærm, forklarede Microsoft.
TCC dukkede op i 2012 i OS X Mountain Lion og står bag de systemnotifikationer, som brugere ser, når de giver eller nægter 'samtykke' for specifikke applikationer til at få adgang til private data, hvilket inkluderer adgang til enhedens kamera, mikrofon, placering og adgang til brugerens kalender eller iCloud-konto.
Apple beskriver ikke TCC direkte i sin sikkerhedsmanual, men via sikkerhedsfirmaet Sentinal One er TCC's formål beskrevet i et afsnit af manualen, der beskriver, hvordan macOS og iOS beskytter app-adgang til brugerdata. Brugere kan administrere disse privatlivsbeskyttelser i macOS i Sikkerheds- & Privatlivssektionen i Systemindstillinger.
“Apple-enheder hjælper med at forhindre apps i at få adgang til en brugers personlige oplysninger uden tilladelse ved hjælp af forskellige teknologier, herunder Data Vault. I Indstillinger i iOS og iPadOS eller Systemindstillinger i macOS kan brugere se, hvilke apps de har givet tilladelse til at få adgang til visse oplysninger som samt give eller tilbagekalde enhver fremtidig adgang,” forklarer Apple.
Microsofts TCC-bypass-fejl tilbyder en ny måde at omgå beskyttelser, som Apple har tilføjet til tidligere opdagede TCC-omgåelser, herunder CVE-2020-9771, CVE-2020-9934 og CVE-2021-30713.
For at beskytte TCC mod disse bypass-fejl introducerede Apple en funktion, der forhindrer uautoriseret kodeudførelse og håndhævede en politik, der begrænser adgangen til TCC til kun apps med fuld diskadgang. Disse rettelser beskyttede TCC.db (database) filer mod at blive tilgået forkert gennem f.eks. Time Machine-sikkerhedskopier eller alternative filstier.
Microsoft omgå Apples TCC-beskyttelser virkede ved at plante en falsk TCC.db-fil og ændre hjemmebiblioteket ved hjælp af en specifik 'superbruger' sudo-kommando i kommandolinjeværktøjet Directory Services.
“Mens vi krævede root-adgang, opdaget, at dette kun virker, hvis appen er tildelt med TCC-politikken kTCCServiceSystemPolicySysAdminFiles, som den lokale eller brugerspecifikke TCC.db vedligeholder,” forklarer Microsoft.
“Det er svagere end at have fuld diskadgang, men vi formåede at omgå den begrænsning med dsexport- og dsimport-værktøjerne.”
Microsofts proof of concept viste, at angribere kunne ændre indstillingerne på enhver applikation, hvilket potentielt giver dem mulighed for at aktivere mikrofon- og kameraadgang på enhver app – deraf fejlens navn “Powerdir”.
Fremhævede
Hackere bruger Log4j-fejl som en del af deres angreb, advarer Microsoft Stadig i toppen: Linux Mint 20.3 er den bedste Linux-computertest Covid-test: Den bedste derhjemme hurtige testsæt Hvis du bruger Google Chrome, skal du installere dette nu Security TV | Datastyring | CXO | Datacentre