内容简介:去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。
去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。
去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、 消息和浏览历史记录等 )之前必须获得用户的许可(“允许”或“拒绝”)。
对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。
MacOS本身内置有合成点击的功能,但作为一种辅助功能,残障人士可以通过此功能,以非传统方式与系统界面进行交互。
因此,该功能仅适用于Apple批准的应用,可防止恶意应用滥用这些程序化点击。
然而,安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷,它可能允许安装在目标系统上的恶意应用程序,虚拟地“点击”安全提示按钮,而无需与用户进行交互。
尽管苹果公司在公开披露几周后修补了这个问题,但Wardle再一次公开展示了一种新方法,可以让应用程序在没有明确许可的情况下执行“Synthetic Clicks”来访问用户的私人数据。
Warlde表示, 在Mojave上,macOS检查白名单应用程序完整性的方式存在验证漏洞。 操作系统对应用程序的验证仅限于数字证书是否存在,而无法检查其加载的资源和可执行代码。
据悉,该问题位于透明度同意和控制(TCC)系统中的“AllowApplications.plist”列表。该列表可用于控制跨应用程序数据请求,为具有特定签名的应用程序受保护功能授予访问权限。然而,通过修改受信任应用程序生成合成点击,可再次将该保护机制用于恶意行为。
在蒙特卡洛的Objective By the Sea会议上, Wardle使用预先批准的VLC播放器进行了测试,在恶意软件中添加任意插件文件,匹配该文件与VLC支持的模式,然后通过本地访问目标系统即可发动攻击。
此次测试中,尽管提前进行了修改,但VLC仍由TCC系统进行验证,且仍能生成合成点击执行恶意操作。截至目前,Wardle已向苹果报告该发现,苹果暂未对此作出回应。
来源: Hackernews、 ISEC安全e站
2019 看雪安全开发者峰会门票正在热售中!
长按识别上方 二维码 , 即可享受 2.5折 优惠!
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
↙ 点击下方“阅读原文”,查看更多干货
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
