WWDC2022-2023 nie je jedinou vážnou novinkou na pracovnom stole inžinierov spoločnosti Apple dnes ráno.
Pri zlom zneužívaní môže škodlivá aplikácia oklamať váš MacBook alebo akýkoľvek súčasný Mac, aby si myslel, že ste to vy a robil si, čo chce. Výskumný pracovník v oblasti bezpečnosti Patrick Wardle, vedúci výskumu v spoločnosti Digita Security, odhalil včera (2. júna) bezpečnostnú dieru v systéme macOS na konferencii v Monaku, ktorá sa nazýva Objective by the Sea.
Apple bohužiaľ túto chybu ešte neopravil a Wardle o tom spoločnosti povedal len minulý týždeň. Aby ste sa chránili, musíte si dávať veľký pozor na aplikácie, ktoré sťahujete priamo z internetu. Bolo by lepšie držať sa radšej oficiálneho obchodu Mac App Store.
Duch kliká
Problém je podľa Wardleho v tom, že Apple necháva niekoľko starších aplikácií (väčšinou starších verzií súčasných aplikácií, ako je napríklad obľúbený prehrávač médií VLC) naďalej používať „syntetické kliknutia“, čo je funkcia, ktorá aplikáciám umožnila obísť najnovšie bezpečnostné prekážky spoločnosti Apple. napodobením autorizovaného používateľa, ktorého povolenie je potrebné na povolenie určitých akcií.
Podľa EclecticLight.co zoznam starších aplikácií, ktoré spoločnosť Apple zaradila na bielu listinu, aby mohla používať syntetické kliknutia, obsahuje staré verzie Steam, VLC, Sonos Mac Controller a Logitech Manager.
Potom, čo Wardle a ďalší vedci minulý rok v lete ukázali, ako je možné použiť syntetické kliknutia na útoky na počítače Mac, Apple zavrel dvere k tejto funkcii pomocou systému macOS Mojave. Aby však staré aplikácie mohli fungovať aj naďalej - Wardle varoval, že úplné zabíjanie syntetických kliknutí „rozbije mnoho legitímnych aplikácií“ - tieto staršie aplikácie dostali výnimku.
„Je to frustrujúce, ako výskumníka neustále nachádzať spôsoby, ako obísť ochranu spoločnosti Apple,“ povedal Wardle pre Threatpost. „Bol by som naivný, keby som si myslel, že neexistujú iní hackeri alebo sofistikovaní protivníci, ktorí by tiež našli podobné diery v obrane spoločnosti Apple.“
Nekontroluje komory
Apple má ďalšie zabezpečenie. Umožňuje iba aplikáciám na zozname povolených Apple používať syntetické kliknutia bez ohľadu na to, či sú tieto aplikácie staršie alebo nie. Problém je v tom, že proces overovania je hlboko chybný.
MacOS overuje aplikácie iba kontrolou ich digitálnych podpisov, a nie skutočnou kontrolou kódu v týchto aplikáciách alebo uistením sa, že po spustení nenačítajú ďalší kód. Včera Wardle dokázal, že jeho obavy sú platné, tým, že do VLC vložil škodlivý doplnok, ktorý mohol vykonávať syntetické kliknutia - falošné akcie používateľov - ktoré Apple v aplikáciách zvyčajne blokuje.
Predstavte si bezpečnostného agenta TSA, ktorý kontroluje iba váš preukaz totožnosti a nepresúva vašu batožinu cez skenovací zásobník. O to tu ide.
„Spôsob, akým implementovali tento nový bezpečnostný mechanizmus, je stopercentne zlomený,“ povedal Wardle pre Wired. „Môžem obísť všetky tieto nové opatrenia na ochranu osobných údajov Mojave.“
Oklamanie užívateľa
Nie je ťažké oklamať používateľov, aby si nainštalovali aplikácie, ktoré boli proti používateľovi poškodené a vyzbrojené zbraňami. Hlavný príklad toho sa stal v skutočnom živote v marci 2016 s populárnym prenosom klientov BitTorrent.
Útočník možno ani nemusí nikoho oklamať. V roku 2016 Wardle ukázal, ako poškodená aktualizácia legitímneho softvéru, ktorý už používateľ nainštaloval - v tomto prípade Kaspersky Internet Security pre Mac - môže obísť všetky bezpečnostné mechanizmy spoločnosti Apple a infikovať počítač Mac.
Nedbalé bezpečnostné postupy
O Wardleho najnovšom rozhovore informovalo množstvo predajní vrátane registra.
Ako sa to stalo? Wardle pre The Register povedal, že „keby tento kód auditoval ktorýkoľvek bezpečnostný výskumník alebo niekto v spoločnosti Apple s bezpečnostným prístupom, určite by si ho všimli. Akonáhle uvidíte túto chybu, je to triviálne“.
„Nekontrolujú kód,“ dodal. „Áno, implementujeme tieto nové bezpečnostné funkcie, ale realita je taká, že sú často implementované nesprávne.“
- Prečo WWDC uvedie novú éru pre Apple