macOS零日漏洞曝光，允许黑客绕过系统安全功能执行恶意代码

去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法，即代表用户执行“综合点击”且无需互动。

去年六月，Apple在MacOS中引入了一项核心安全功能，强制所有应用程序在访问系统上的敏感数据或组件（包括设备摄像头、麦克风、位置、 消息和浏览历史记录等 ）之前必须获得用户的许可（“允许”或“拒绝”）。

对于那些不知了解“合成点击”的用户来说，合成点击是由软件程序所生成的程序化和不可见的鼠标点击，而非人为点击生成的。

MacOS本身内置有合成点击的功能，但作为一种辅助功能，残障人士可以通过此功能，以非传统方式与系统界面进行交互。

因此，该功能仅适用于Apple批准的应用，可防止恶意应用滥用这些程序化点击。

然而，安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷，它可能允许安装在目标系统上的恶意应用程序，虚拟地“点击”安全提示按钮，而无需与用户进行交互。

尽管苹果公司在公开披露几周后修补了这个问题，但Wardle再一次公开展示了一种新方法，可以让应用程序在没有明确许可的情况下执行“Synthetic Clicks”来访问用户的私人数据。

Warlde表示， 在Mojave上，macOS检查白名单应用程序完整性的方式存在验证漏洞。 操作系统对应用程序的验证仅限于数字证书是否存在，而无法检查其加载的资源和可执行代码。

据悉，该问题位于透明度同意和控制（TCC）系统中的“AllowApplications.plist”列表。该列表可用于控制跨应用程序数据请求，为具有特定签名的应用程序受保护功能授予访问权限。然而，通过修改受信任应用程序生成合成点击，可再次将该保护机制用于恶意行为。

在蒙特卡洛的Objective By the Sea会议上， Wardle使用预先批准的VLC播放器进行了测试，在恶意软件中添加任意插件文件，匹配该文件与VLC支持的模式，然后通过本地访问目标系统即可发动攻击。

此次测试中，尽管提前进行了修改，但VLC仍由TCC系统进行验证，且仍能生成合成点击执行恶意操作。截至目前，Wardle已向苹果报告该发现，苹果暂未对此作出回应。

来源： Hackernews、 ISEC安全e站

2019 看雪安全开发者峰会门票正在热售中！

长按识别上方 二维码 ， 即可享受  2.5折  优惠！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多干货