macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码

栏目: 编程工具 · 发布时间: 5年前

内容简介:去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。

去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。

去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、 消息和浏览历史记录等 )之前必须获得用户的许可(“允许”或“拒绝”)。

对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。

MacOS本身内置有合成点击的功能,但作为一种辅助功能,残障人士可以通过此功能,以非传统方式与系统界面进行交互。

因此,该功能仅适用于Apple批准的应用,可防止恶意应用滥用这些程序化点击。

然而,安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷,它可能允许安装在目标系统上的恶意应用程序,虚拟地“点击”安全提示按钮,而无需与用户进行交互。

尽管苹果公司在公开披露几周后修补了这个问题,但Wardle再一次公开展示了一种新方法,可以让应用程序在没有明确许可的情况下执行“Synthetic Clicks”来访问用户的私人数据。

Warlde表示, 在Mojave上,macOS检查白名单应用程序完整性的方式存在验证漏洞。 操作系统对应用程序的验证仅限于数字证书是否存在,而无法检查其加载的资源和可执行代码。

据悉,该问题位于透明度同意和控制(TCC)系统中的“AllowApplications.plist”列表。该列表可用于控制跨应用程序数据请求,为具有特定签名的应用程序受保护功能授予访问权限。然而,通过修改受信任应用程序生成合成点击,可再次将该保护机制用于恶意行为。

在蒙特卡洛的Objective By the Sea会议上, Wardle使用预先批准的VLC播放器进行了测试,在恶意软件中添加任意插件文件,匹配该文件与VLC支持的模式,然后通过本地访问目标系统即可发动攻击。

此次测试中,尽管提前进行了修改,但VLC仍由TCC系统进行验证,且仍能生成合成点击执行恶意操作。截至目前,Wardle已向苹果报告该发现,苹果暂未对此作出回应。

来源: Hackernews、 ISEC安全e站

macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码 2019 看雪安全开发者峰会门票正在热售中!

长按识别上方 二维码 即可享受  2.5折  优惠!

macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多干货


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

一网打尽

一网打尽

[美]布拉德·斯通 / 李晶、李静 / 中信出版社 / 2014-1-15 / 49.00元

亚马逊最早起步于通过邮购来经营图书业务。但贝佐斯却不满足于仅做一名书商,他希望缔造亚马逊万货商店的神话——能提供海量的货源,并以超低的价格提供最具吸引力的便捷服务。为了实现这一诺言,他发展了一种企业文化,这种文化蕴含着执着的雄心与难以破解 的秘诀。亚马逊的这 一文化现在依旧在发扬光大。 布拉德·斯通非常幸运地得到采访亚马逊的前任和现任高管、员工以及贝佐斯本人、家人的机会,使我们第一次有机会深......一起来看看 《一网打尽》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具