| 14 авг 2018 — 4:36 утра по тихоокеанскому времени
Исследователь в области безопасности и бывший сотрудник АНБ Патрик Уордл заявил, что в воскресенье он продемонстрирует набор автоматизированных атак на macOS High Sierra, позволяющих обойти проверки безопасности.
Проверки, которые запрашивают у пользователя подтверждение предоставления приложению разрешений на доступ к контактам или данным местоположения…
Он быстро уточнил, что эти эксплойты не предоставляют злоумышленнику первоначальный доступ к Mac. Однако они эффективно обходят песочницу Apple, позволяя вредоносному приложению получать дополнительные разрешения.
Wired сообщает, что эксплойты основаны на так называемых «синтетических кликах», когда вредоносный код имитирует нажатие пользователем кнопки для предоставления разрешения.
На конференции хакеров DefCon в воскресенье в Лас-Вегасе Уордл планирует представить изощренный набор автоматизированных атак, которые он осуществил против версий macOS, вплоть до выпуска 2017 года High Sierra. Эти атаки способны выполнять так называемые синтетические клики, позволяющие вредоносному ПО легко обходить запросы разрешений, предназначенные для его блокировки. В результате вредоносное ПО, попав на компьютер пользователя, может обходить уровни безопасности для выполнения таких действий, как определение местоположения пользователя, кража его контактов или, с помощью его самой удивительной и критической техники, получение контроля над глубочайшим ядром операционной системы, известным как ядро, для полного управления компьютером.
«Пользовательский интерфейс — это единая точка отказа, — говорит Уордл, который сейчас работает исследователем безопасности в Digita Security. — Если у вас есть способ синтетически взаимодействовать с этими оповещениями, у вас есть очень мощный и универсальный способ обойти все эти механизмы безопасности».
Ранее Уордл добился того же, используя функции доступности. Apple выпустила патч для блокировки этого, а затем он обнаружил дальнейший обходной путь. Уордл говорит, что наибольший риск заключается в том, что одно вредоносное приложение теперь потенциально может использовать эту технику для получения контроля над ядром — чего, как полагается, быть не должно.
Если вредоносное ПО может использовать этот трюк для установки расширения ядра, оно часто может использовать этот дополнительный код для получения полного контроля над целевой машиной. Расширения ядра — как драйверы в Windows — должны быть подписаны разработчиком, чтобы MacOS могла их установить. Но если существующее подписанное расширение ядра имеет уязвимость, вредоносное ПО может установить это расширение, а затем использовать его уязвимость для получения контроля над ядром.
«Многие продвинутые вредоносные программы действительно пытаются проникнуть в ядро. Это как режим бога, — говорит Уордл. — Если вы можете заразить ядро, вы можете видеть всё, обходить любые механизмы безопасности, скрывать процессы, перехватывать нажатия клавиш пользователя. Это действительно конец игры».
Похоже, что эксплойты исправлены в Mojave.
Apparently this is fixed in Mojave — synthetic events are not allowed in Mojave without user approval for the app that wants to post them. https://t.co/NntzcmB6uo
— John Gruber (@gruber) August 13, 2018
Некоторые сообщают, что Apple также пытается блокировать синтетические клики в macOS 10.13.6, хотя степень успеха этого пока неясна. Мы узнаем больше в воскресенье.
Смотрите 9to5Mac на YouTube для получения новостей об Apple: