Specialister Microsoft sa att angripare kan använda en sårbarhet i macOS för att kringgå Transparency, Consent, and Control (TCC)-teknologi och få tillgång till skyddad användardata.
Forskargruppen informerade utvecklarna Apple om sårbarheten som heter Powerdir (CVE-2021-30970). Felet är relaterat till TCC-tekniken, som är utformad för att blockera åtkomsten av applikationer till konfidentiell användardata. Det låter macOS-användare justera sekretessinställningar för appar och enheter som är anslutna till sina Mac-datorer, inklusive kameror och mikrofoner.
Fastän Apple begränsad åtkomst till TCC (endast för program med full diskåtkomst) och konfigurerade funktioner för att automatiskt blockera obehörig kodexekvering, forskarna Microsoft upptäckt att angripare kan introducera en andra speciellt skapad TCC-databas i systemet, vilket gör att de kan få tillgång till skyddad information.
Faktum är att TCC stöder två typer av databaser - en för behörigheter som gäller en specifik användarprofil och en annan för behörigheter som gäller globalt, systemomfattande, skyddad av System Integrity Protection (SIP) och endast tillgänglig för program med full disk tillgång.
"Vi upptäckte att det är möjligt att programmatiskt ändra målanvändarens hemkatalog och injicera en falsk TCC-databas som lagrar samtyckeshistoriken för applikationsförfrågningar", sa experterna. — Om denna sårbarhet utnyttjas kan en angripare teoretiskt sett organisera en attack baserat på användarens skyddade personuppgifter. Till exempel kan en angripare äventyra en applikation installerad på en enhet (eller installera sin egen skadlig programvara) genom att komma åt mikrofonen för att spela in privata konversationer eller ta skärmdumpar av känslig information som visas på skärmen.”
Faktum är att en användare med full diskåtkomst kan hitta, visa och till och med redigera filen TCC.db, som är SQLITE-databasen. Således kan en angripare med full tillgång till TCC-databaserna ge godtyckliga tillstånd till sina skadliga program utan att användaren ens vet.
CVE-2021-30970 är det tredje TCC-bypass-problemet. Tidigare, 2021 Apple fixade buggarna CVE-2020-9934 och CVE-2020-27937, samt nolldagarssårbarheten CVE-2021-30713, vilket också gjorde det möjligt för en angripare att få full åtkomst till disken, spela in data från skärmen, etc.
Apple rättad dessa problem med lanseringen av macOS 11.6 och 12.1.
Läs också:
- Utvecklarna tjänade in Apple App Store är över 260 miljarder dollar
- Browser Microsoft Edge kommer att upptäcka minnesläckoryati