苹果Mac 0day漏洞可让恶意应用访问敏感信息

苹果Mac 0day漏洞可让恶意应用访问敏感信息

恶意应用可轻易切断苹果最新发布的Mojave 10.14版本隐私保护机制。

苹果最新macOS系统“Mojave”现0day漏洞,攻击者使用非特权应用可访问隐私、机密信息。

该漏洞是由特里克·沃德尔(Patrick Wardle,美国国家安全局前雇员、知名Mac电脑黑客、Digita Security联合创始人、Mac安全工具“Objective-See”创造人)发现,其曾在推特上表示“Mojave的‘黑暗模式’很棒,但对增强隐私保护的承诺则有假消息之感”。

Mac Mojave 10.14版本修复多个安全问题,引入了新的用户数据保护:应用中访问位置服务、联系人、日历、提醒、照片等敏感区域时需要用户明确授意,这也是为阻止恶意攻击者使用“合成点击”模拟人类手指触摸进而访问隐私信息而设。现在的版本中会弹出需真实用户直接提供的授权才能访问敏感信息,但用户可以预授权其信任的应用。

但现在,该漏洞可让恶意应用绕过新的隐私机制。沃德尔的推文还附了Vimeo视频链接,捉弄了一下下Mojave黑暗模式,视频中展示了地址簿的数据访问,举例的是斯诺登、朝鲜网络间谍朴金赫(Park Jin-hyok)这些炙手可热的人,之后全复制到了桌面上,但技术细节会在11月份的Mac安全大会上才会发布。

虽然技术细节披露不多,但沃德尔表示该漏洞是以Apple“为各种隐私有关的数据设置”的方式存在,在其后续推文中还说不止黑暗模式,所有模式都被这个漏洞连累,但其表示网络摄像头、麦克风和其他硬件访问没有受到该漏洞影响。其在推特上表示,macOS没有公开悬赏计划,故他还在寻找向苹果报告的方式。苹果方面暂未向沃德尔取得联系,也没有对此作出评论。

沃德尔曾在8月的DEF CON上披露了另外一个Mac 0day漏洞,其可让本地攻击者虚拟“点击”安全提示,在运行最新High Sierra系统上加载内核扩展,给攻击者一个用于全机攻击的绝佳访问权限。据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建检查点、阻止恶意软件,同时也让正常的应用程序得以通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内,其称之为“合成点击”,通过该方法能让恶意软件轻而易举通过系统安全警报,但弹窗提示对用户来说仍然可见,苹果macOS操作系统会提示用户电脑上存在恶意软件。沃德尔在会上曾表示恶意软件可等用户离开机器时再去触发并绕过弹窗提示。

虽说他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑,但却可能是危险的工具,能让老练的攻击者从计算机中窃取更多数据或获得更深层的控制。

 拓展阅读:沃德尔的合成点击方法

苹果Mac 0day漏洞可让恶意应用访问敏感信息

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/114355.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code