Уязвимость в приложениях Microsoft позволяла хакерам шпионить за пользователями Mac

Уязвимость, обнаруженная в приложениях Microsoft для macOS, позволяла хакерам шпионить за пользователями Mac. Исследователи безопасности из Cisco Talos сообщили в своем блоге, как злоумышленники могли использовать эту уязвимость и что Microsoft предпринимает для устранения эксплойтов.

Хакеры могут использовать приложения Microsoft для доступа к камерам и микрофонам пользователей Mac

Cisco Talos, группа по кибербезопасности, специализирующаяся на предотвращении вредоносных программ и систем, поделилась подробностями о том, как уязвимость в таких приложениях, как Microsoft Outlook и Teams, могла привести к тому, что злоумышленники получали доступ к микрофону и камере Mac без ведома пользователя. Атака основана на внедрении вредоносных библиотек в приложения Microsoft для получения их разрешений и прав доступа, предоставленных пользователем.

macOS от Apple имеет фреймворк, известный как Transparency Consent and Control (TCC), который управляет разрешениями приложений на доступ к таким вещам, как службы геолокации, камера, микрофон, фотогалерея и другие файлы.

Каждому приложению требуется разрешение для запроса прав доступа от TCC. Приложения без этих разрешений даже не будут запрашивать их и, следовательно, не будут иметь доступа к камере и другим частям компьютера. Однако эксплойт позволял вредоносному программному обеспечению использовать разрешения, предоставленные приложениям Microsoft.

«Мы выявили восемь уязвимостей в различных приложениях Microsoft для macOS, через которые злоумышленник мог обойти модель разрешений операционной системы, используя существующие разрешения приложений без запроса какой-либо дополнительной проверки у пользователя», — объясняют исследователи.

Например, хакер мог создать вредоносное программное обеспечение для записи звука с микрофона или даже для фотографирования без какого-либо вмешательства пользователя. «Все приложения, кроме Excel, имеют возможность записывать звук, некоторые даже могут получить доступ к камере», — добавляет группа.

Microsoft работает над исправлением, но это, похоже, не является приоритетом

По данным Cisco Talos, Microsoft считает этот эксплойт «низкорисковым», поскольку он основан на загрузке неподписанных библиотек для поддержки сторонних плагинов.

После сообщений об эксплойтах Microsoft обновила приложения Microsoft Teams и OneNote для macOS, внеся изменения в то, как эти приложения обрабатывают разрешения на проверку библиотек. Однако Excel, PowerPoint, Word и Outlook по-прежнему уязвимы к этому эксплойту.

Исследователи ставят под сомнение, зачем Microsoft потребовалось отключать проверку библиотек, особенно когда не ожидается загрузка дополнительных библиотек. «Используя это разрешение, Microsoft обходит меры безопасности, предлагаемые усиленным режимом выполнения, потенциально подвергая своих пользователей неоправданным рискам».

В то же время исследователи отмечают, что Apple также может внести изменения в TCC, чтобы сделать систему более безопасной. Группа предлагает, чтобы система запрашивала у пользователей подтверждение при загрузке сторонних плагинов в приложения, которые уже имеют предоставленные разрешения.

Более подробную информацию об эксплойте можно найти в блоге Cisco Talos.

Читайте также

• Security Bite: Apple (наконец-то) усложняет обход Gatekeeper, что является показательным шагом
• Security Bite: Рейтинг моих любимых новых функций конфиденциальности в iOS 18
• macOS Sequoia усложняет запуск приложений, которые не соответствуют правилам безопасности Apple
• macOS Sequoia теперь будет ежемесячно (а не еженедельно) запрашивать разрешения на запись экрана