WWDC2022-2023 není jedinou vážnou novinkou na pracovním stole inženýrů Applu.
Pokud je zneužita správně, škodlivá aplikace by mohla oklamat váš MacBook nebo jakýkoli druh současného Macu, aby si myslel, že jste to vy a dělali si, co chce. Bezpečnostní výzkumník Patrick Wardle, hlavní výzkumný pracovník společnosti Digita Security, odhalil včera (2. června) na konferenci v Monaku přezdívku Objective by the Sea bezpečnostní mezeru v systému macOS.
Apple bohužel tuto vadu zatím nezaplatil a Wardle to společnosti oznámil teprve minulý týden. Abyste se chránili, musíte si dávat velký pozor na aplikace, které stahujete přímo z internetu. Bylo by lepší držet se oficiálního Mac App Store.
Duch klikne
Problém podle Wardleho spočívá v tom, že Apple nechává hrstku starších aplikací (většinou starších verzí současných aplikací, jako je například oblíbený přehrávač médií VLC) nadále používat „syntetická kliknutí“, což je funkce, která umožnila aplikacím obejít nejnovější bezpečnostní překážky společnosti Apple. napodobením oprávněného uživatele, jehož povolení je nutné k povolení určitých akcí.
Podle EclecticLight.co seznam starších aplikací, které Apple přidal na seznam povolených, aby mohl používat syntetická kliknutí, obsahuje staré verze Steam, VLC, Sonos Mac Controller a Logitech Manager.
Poté, co Wardle a další vědci loni v létě ukázali, jak lze použít syntetická kliknutí k útoku na počítače Mac, Apple zavřel dveře této funkci pomocí systému macOS Mojave. Aby však starší aplikace mohly nadále fungovat - Wardle varoval, že úplné zabití syntetických kliknutí „rozbije mnoho legitimních aplikací“ - tyto starší aplikace dostaly výjimku.
„Jako výzkumníka je frustrující neustále hledat způsoby, jak obejít ochranu Apple,“ řekl Wardle pro Threatpost. „Byl bych naivní, kdybych si myslel, že neexistují žádní další hackeři nebo sofistikovaní protivníci, kteří také našli podobné díry v obraně Applu.“
Nekontrolovat komory
Apple má další zabezpečení. Umožňuje pouze aplikacím na seznamu povolených aplikací Apple používat syntetická kliknutí, ať už jsou tyto aplikace starší nebo ne. Problém je v tom, že proces ověřování je hluboce chybný.
MacOS ověřuje aplikace pouze kontrolou jejich digitálních podpisů, a nikoli tím, že ve skutečnosti kontroluje kód uvnitř těchto aplikací nebo zajišťuje, aby po spuštění nezačaly další kód. Včera Wardle prokázal, že jeho obavy jsou platné, vložením škodlivého pluginu do VLC, který by mohl provádět syntetická kliknutí - falešné akce uživatelů - které Apple v aplikacích obvykle blokuje.
Představte si bezpečnostního agenta TSA, který kontroluje pouze vaše ID a neprotáhne vaše zavazadlo skenovacím podnosem. O to tady jde.
„Způsob, jakým implementovali tento nový bezpečnostní mechanismus, je stoprocentně rozbitý,“ řekl Wardle pro Wired. „Mohu obejít všechna tato nová opatření na ochranu soukromí Mojave.“
Oklamání uživatele
Není těžké oklamat uživatele, aby si nainstalovali aplikace, které byly proti uživateli poškozeny a vyzbrojeny. Významným příkladem toho se stalo v reálném životě v březnu 2016 s populárním klientským přenosem BitTorrent.
Útočník možná ani nemusí nikoho obelstít. V roce 2016 Wardle ukázal, jak by poškozená aktualizace legitimního softwaru, který si uživatel již nainstaloval - v tomto případě Kaspersky Internet Security pro Mac - mohla obejít všechny bezpečnostní mechanismy společnosti Apple a infikovat Mac.
Nedbalé bezpečnostní postupy
O Wardleově nejnovějším rozhovoru informovala řada prodejen, včetně The Register.
Jak se to stalo? Wardle pro The Register řekl, že „kdyby tento kód auditoval jakýkoli výzkumník zabezpečení nebo někdo v Apple s bezpečnostním smýšlením, určitě by si toho všimli. Jakmile uvidíte tuto chybu, je to triviální,“
„Nekontrolují kód,“ dodal. „Ano, implementujeme tyto nové bezpečnostní funkce, ale ve skutečnosti jsou často implementovány nesprávně.“
- Proč WWDC zahájí novou éru pro Apple