WWDC2022-2023 to nie jedyna poważna wiadomość na biurkach inżynierów Apple'a dzisiejszego ranka.
Jeśli zostanie odpowiednio wykorzystana, złośliwa aplikacja może oszukać MacBooka lub jakikolwiek inny komputer Mac, myśląc, że to Ty i robić, co tylko zechce. Badacz bezpieczeństwa Patrick Wardle, dyrektor ds. badań w Digita Security, ujawnił wczoraj (2 czerwca) lukę w zabezpieczeniach systemu macOS na konferencji w Monako nazwanej Objective by the Sea.
Niestety, Apple nie załatało jeszcze tej wady, a Wardle poinformował o tym firmie dopiero w zeszłym tygodniu. Aby się chronić, musisz bardzo uważać na aplikacje pobierane bezpośrednio z Internetu. Lepiej byłoby zamiast tego trzymać się oficjalnego Mac App Store.
Duch klika
Według Wardle'a problem polega na tym, że Apple pozwala kilku starszym aplikacjom (głównie starszym wersjom obecnych aplikacji, takich jak popularny odtwarzacz multimedialny VLC) nadal używać „syntetycznych kliknięć”, funkcji, która pozwoliła aplikacjom ominąć najnowsze przeszkody bezpieczeństwa Apple naśladując autoryzowanego użytkownika, którego zezwolenie jest potrzebne, aby zezwolić na określone działania.
Według EclecticLight.co lista starszych aplikacji, które Apple umieścił na białej liście, aby móc korzystać z syntetycznych kliknięć, obejmuje stare wersje Steam, VLC, Sonos Mac Controller i Logitech Manager.
Po tym, jak Wardle i inni badacze pokazali zeszłego lata, w jaki sposób syntetyczne kliknięcia mogą być wykorzystywane do atakowania komputerów Mac, Apple zamknął drzwi przed tą funkcją za pomocą macOS Mojave. Aby jednak starsze aplikacje mogły nadal działać – Wardle ostrzegł, że całkowite zabicie syntetycznych kliknięć „złamałoby wiele legalnych aplikacji” – te starsze aplikacje zostały zwolnione.
„To frustrujące dla badacza, który nieustannie szuka sposobów na ominięcie zabezpieczeń Apple” – powiedział Wardle dla Threatpost. „Byłbym naiwny, gdybym pomyślał, że nie ma innych hakerów ani wyrafinowanych przeciwników, którzy również znaleźliby podobne dziury w mechanizmach obronnych Apple”.
Nie sprawdzanie komór
Apple ma jeszcze jedno zabezpieczenie. Zezwala tylko aplikacjom z białej listy Apple na używanie syntetycznych kliknięć, niezależnie od tego, czy te aplikacje są starsze, czy nie. Problem polega na tym, że proces weryfikacji jest głęboko wadliwy.
MacOS weryfikuje aplikacje tylko poprzez sprawdzanie ich podpisów cyfrowych, a nie przez faktyczne sprawdzanie kodu wewnątrz tych aplikacji lub upewnianie się, że nie ładują dodatkowego kodu po uruchomieniu. Wczoraj Wardle udowodnił swoje obawy, wstrzykując złośliwą wtyczkę do VLC, która może wykonywać syntetyczne kliknięcia – fałszywe działania użytkownika – które Apple zazwyczaj blokuje w aplikacjach.
Wyobraź sobie agenta ochrony TSA, który tylko sprawdza Twój dowód tożsamości i nie przesuwa Twojego bagażu przez tacę do skanowania. To jest tutaj problem.
„Sposób, w jaki wdrożyli ten nowy mechanizm bezpieczeństwa, jest w 100 procentach zepsuty” – powiedział Wardle dla Wired. „Mogę ominąć wszystkie te nowe środki ochrony prywatności Mojave”.
Oszukiwanie użytkownika
Nie jest trudno oszukać użytkowników, aby instalowali aplikacje, które zostały uszkodzone i uzbrojone w broń przeciwko użytkownikowi. Główny przykład tego zdarzył się w prawdziwym życiu w marcu 2016 roku z popularnym klientem BitTorrent Transmission.
Atakujący może nawet nie potrzebować nikogo oszukiwać. W 2016 roku Wardle pokazał, w jaki sposób uszkodzona aktualizacja legalnego oprogramowania, które użytkownik już zainstalował – w tym przykładzie Kaspersky Internet Security for Mac – może ominąć wszystkie mechanizmy bezpieczeństwa Apple w celu zainfekowania komputera Mac.
Niedbałe praktyki bezpieczeństwa
Ostatnia rozmowa Wardle'a została zgłoszona przez wiele mediów, w tym The Register.
Jak to się stało? Wardle powiedział The Register, że „Gdyby jakikolwiek badacz ds. bezpieczeństwa lub ktoś w Apple, który miał nastawienie na bezpieczeństwo, skontrolował ten kod, zauważyliby go. Gdy zobaczysz ten błąd, jest on trywialny”
„Oni nie przeprowadzają audytu kodu” – dodał. „Wdrażają te nowe funkcje bezpieczeństwa, ale w rzeczywistości często są one wdrażane nieprawidłowo”.
- Dlaczego WWDC wprowadzi Apple w nową erę?