据外媒报道,研究人员发现macOS存在零日漏洞,允许黑客使用合成点击绕过macOS操作系统中的隐私和安全功能,执行设备上的未验证代码。
图片来源于unsplash
该漏洞由研究人员Patrick Wardle发现,位于macOS Mojave的应用验证过程中。当应用程序通过隐私和安全提示中“确定”按钮的合成点击访问设备或数据时,黑客可以绕过向macOS用户预警的提示,在显示器进入睡眠状态时触发攻击。
据悉,Wardle此前曾演示过如何利用合成点击功能绕过安全警报执行恶意操作,针对该漏洞,苹果已在2018年全球功能开发者大会(WWDC)上引入核心安全功能进行修复,并要求所有应用程序访问系统敏感数据或组件(如摄像头、麦克风、位置、Safari数据、历史记录等)前,必须获得用户的许可。
图片来源于unsplash
然而,研究人员Howard Oakley发现,macOS还存在另一个安全漏洞,允许安装在目标系统上的恶意应用程序虚拟“点击”安全提示按钮,且无需任何用户交互或用户许可。
漏洞曝光后,苹果在几周内发布补丁进行了修复。但Wardle再次发现了该漏洞的新利用方法,允许应用程序在无明确许可的情况下执行“综合点击”访问用户私人数据。
图片来源于unsplash
Warlde表示,在Mojave上,macOS检查白名单应用程序完整性的方式存在验证漏洞。操作系统对应用程序的验证仅限于数字证书是否存在,而无法检查其加载的资源和可执行代码。
据悉,该问题位于透明度同意和控制(TCC)系统中的“AllowApplications.plist”列表。该列表可用于控制跨应用程序数据请求,为具有特定签名的应用程序受保护功能授予访问权限。然而,通过修改受信任应用程序生成合成点击,可再次将该保护机制用于恶意行为。
图片来源于pexels
Wardle使用预先批准的VLC播放器进行了测试,在应用程序文件夹中添加任意插件文件,匹配该文件与VLC支持的模式,然后通过本地访问目标系统即可发动攻击。
此次测试中,尽管提前进行了修改,但VLC仍由TCC系统进行验证,且仍能生成合成点击执行恶意操作。截至目前,Wardle已向苹果报告该发现,苹果暂未对此作出回应。
图片来源于pixabay
来源:http://u6.gg/sDm7h
来源:freebuf.com 2019-06-04 14:00:06 by: 厦门安胜网络科技有限公司
请登录后发表评论
注册