微软披露了一个威胁苹果粉丝隐私的漏洞细节,并敦促所有 macOS 用户更新系统。
微软的 Jonathan Bar Or 说,这个漏洞被追踪为 CVE-2024-44133 (CVSS5.5),并在 9 月份的 macOS Sequoia 更新中得到了修补。
利用成功后,攻击者有可能使用设备的摄像头拍照、通过麦克风录音、泄露用户位置等。
该漏洞针对的是苹果的 “透明、同意和控制”(TCC)保护措施,鉴于微软自己的8个macOS应用程序在8月份被揭露存在基于TCC的漏洞,微软会对此有深刻的认识。
Bar Or表示,该问题仅限于Safari浏览器,没有其他第三方浏览器存在漏洞,不过这家Windows巨头正在与它们合作,以确保核心问题–本地配置文件–的安全。
TCC 在 macOS 中的作用是确保用户可以控制应用程序对各种功能的访问请求,显示提示并询问是否批准/拒绝。
该功能由苹果所谓的 “权限 ”驱动。有些应用程序可以访问比其他应用程序更强大的权限,Safari 就是其中之一。例如,如果一个应用程序想要访问设备的麦克风,开发者就会启用权限,提示用户接受访问请求。一旦批准/拒绝,该设置应保持不变,直到用户进行更改。
Safari 的权限允许它绕过所有 TCC 保护,如果用户批准,该应用程序就可以自由访问所有可能威胁隐私的组件,以及设备的地址簿等内容。
Bar Or 开发的漏洞利用程序涉及修改 Safari 浏览器目录中的配置文件,TCC 相关文件就保存在该目录中。
利用目录服务命令行实用程序(dscl),Bar Or 能够更改用户的主目录,以移除 TCC 保护的方式修改敏感文件,再次更改主目录以便 Safari 使用这些修改后的文件,然后运行 Safari,这样他们就可以拍摄快照、录制音频、查看下载历史记录等。
他还指出,为了不引起怀疑,坏人可以在一个很小的窗口中启动 Safari,同时将他们想要的数据上传到他们选择的服务器上。
在开发出这个被称为 “HM Surf ”的漏洞后,微软制定并部署了新的检测策略,由此获得的情报揭示了一些可疑的活动,微软称这些活动带有 Adloader 的特征。
Bar Or 在博客中写道:“由于我们无法观察到导致这些活动的步骤,因此我们无法完全确定 Adload 活动是否利用了 HM Surf 漏洞本身。”
“攻击者使用类似的方法来部署一种普遍存在的威胁,这提高了利用这种技术防范攻击的重要性。”
苹果公司没有立即回应我们的置评请求。不过,如果苹果回应了,它可能会像 Bar Or 一样说,它为应用程序组容器推出了新的 API,这样苹果的系统完整性策略(SIP)就可以防止配置文件被攻击者修改,从而解决该类漏洞。
至于其他浏览器的进展情况,火狐浏览器尚未采用 API,Chromium 也是如此,不过它正在努力采用 os_crypt,它以不同的方式解决了核心问题。微软的方法是确保 Defender 能够检测到 Safari 目录中的可疑修改。
发表评论
您还未登录,请先登录。
登录