| 10 декабря 2024 г. — 6:44 PT
9to5Mac Security Bite эксклюзивно предоставляется Mosyle, единственной универсальной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для предприятий. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения безопасности, специфичные для Apple, для полностью автоматизированного укрепления и соответствия требованиям, EDR нового поколения, основанный на ИИ нулевой доверия и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получилась полностью автоматизированная универсальная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы без усилий и по доступной цене подготовить к работе миллионы устройств Apple. Запросите вашу РАСШИРЕННУЮ ПРОБНУЮ ВЕРСИЮ сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
На прошлой неделе я получил интересный отчет от отдела безопасности популярной компании-разработчика программного обеспечения для управления устройствами Apple, Jamf, в котором подробно описывалась серьезная, но теперь исправленная уязвимость iOS и macOS. Эта находка была под эмбарго, но сегодня я наконец могу о ней рассказать.
Jamf Threat Labs обнаружила значительную уязвимость в подсистеме Transparency, Consent, and Control (TCC) Apple в iOS и macOS, которая могла позволить вредоносным приложениям получать доступ к конфиденциальным данным пользователя совершенно незаметно, без каких-либо уведомлений или запросов на согласие пользователя.
В экосистеме Apple TCC функционирует как крайне важная структура безопасности, которая запрашивает у пользователей разрешение на доступ к конфиденциальным данным, ограничивая или отклоняя запросы от отдельных приложений. Вероятно, вы сталкиваетесь с этими запросами при первом запуске приложений. Однако уязвимость обхода TCC может возникнуть, когда этот механизм контроля дает сбой, потенциально позволяя приложению получать доступ к частной информации без явного согласия или ведома пользователя.
Недавно обнаруженная уязвимость, отслеживаемая как CVE-2024-44131, затрагивает системные процессы Files.app и FileProvider.framework и может раскрыть личную информацию пользователей, включая фотографии, GPS-местоположение, контакты и данные о здоровье. Кроме того, Jamf утверждает, что она также может предоставить потенциально вредоносным приложениям доступ к микрофону и камере пользователя. Эта эксплуатация может произойти совершенно незамеченной.
Как это работает
Команда исследователей Jamf обнаружила потенциальный обход, связанный с символическими ссылками, которые используют особенности обработки файловых операций в iOS. Стратегически разместив символическую ссылку в середине процесса копирования файла, вредоносное приложение может перехватывать и перенаправлять перемещение файлов, не вызывая запроса TCC.
«Когда пользователь перемещает или копирует файлы в Files.app, фоновое вредоносное приложение может перехватывать эти действия и перенаправлять файлы в расположения, контролируемые приложением», — объясняется в отчете Jamf Threat Labs . «Используя повышенные привилегии fileproviderd, вредоносное приложение может угонять перемещение или копирование файлов без вызова запроса TCC. Эта эксплуатация может произойти в мгновение ока, совершенно незамеченной конечным пользователем».
Наиболее тревожным аспектом этой уязвимости является ее потенциал для скрытого доступа к данным. Поскольку никаких запросов TCC не возникает, у пользователей нет никаких признаков того, что их данные доступны или перемещаются в каталог, контролируемый злоумышленником.
Особенно уязвимы файлы, хранящиеся в iCloud, особенно в таких каталогах, как /var/mobile/Library/Mobile Documents/. Помимо любых фотографий или файлов, хранящихся здесь, это также может включать данные из таких приложений, как WhatsApp, Pages и других приложений с синхронизацией в облаке.
Неизвестно, использовалась ли эта уязвимость активно. Jamf заявляет, что оперативно сообщила об этом Apple, которая исправила ее в первом релизе iOS 18 и macOS 15 в сентябре.
Полное исследование Jamf Threat Lab можно найти здесь.
Больше в сфере безопасности Apple
- Недавно выпущенное приложение позволяет регулярно сканировать ваш iPhone на наличие шпионского ПО Pegasus — которое может получить доступ почти ко всем данным на телефоне — за разовую плату всего в один доллар.
- Moonlock Lab опубликовала свой отчет об угрозах за 2024 год, подробно описывая, как инструменты ИИ, такие как ChatGPT, помогают писать скрипты вредоносного ПО, переход к Malware-as-a-Service (MaaS) и другую интересную статистику, которую они видят через внутренние данные.
- Приложение «Пароли» от Apple теперь имеет расширение Firefox для Mac. Интересно, что в ветке Reddit выяснилось, что это расширение, похоже, было создано сторонним разработчиком. Но Apple, похоже, взяла его под свое управление под своим брендом и названием.
- Mosyle эксклюзивно раскрывает 9to5Mac подробности о новом семействе загрузчиков вредоносного ПО для Mac. Команда безопасности Mosyle обнаружила, что эти новые угрозы написаны на нетрадиционных языках программирования и используют несколько других хитроумных методов для уклонения от обнаружения.