macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码

栏目: 编程工具 · 发布时间: 5年前

内容简介:去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。

去年绕过Apple当时新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”且无需互动。

去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头、麦克风、位置、 消息和浏览历史记录等 )之前必须获得用户的许可(“允许”或“拒绝”)。

对于那些不知了解“合成点击”的用户来说,合成点击是由软件程序所生成的程序化和不可见的鼠标点击,而非人为点击生成的。

MacOS本身内置有合成点击的功能,但作为一种辅助功能,残障人士可以通过此功能,以非传统方式与系统界面进行交互。

因此,该功能仅适用于Apple批准的应用,可防止恶意应用滥用这些程序化点击。

然而,安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷,它可能允许安装在目标系统上的恶意应用程序,虚拟地“点击”安全提示按钮,而无需与用户进行交互。

尽管苹果公司在公开披露几周后修补了这个问题,但Wardle再一次公开展示了一种新方法,可以让应用程序在没有明确许可的情况下执行“Synthetic Clicks”来访问用户的私人数据。

Warlde表示, 在Mojave上,macOS检查白名单应用程序完整性的方式存在验证漏洞。 操作系统对应用程序的验证仅限于数字证书是否存在,而无法检查其加载的资源和可执行代码。

据悉,该问题位于透明度同意和控制(TCC)系统中的“AllowApplications.plist”列表。该列表可用于控制跨应用程序数据请求,为具有特定签名的应用程序受保护功能授予访问权限。然而,通过修改受信任应用程序生成合成点击,可再次将该保护机制用于恶意行为。

在蒙特卡洛的Objective By the Sea会议上, Wardle使用预先批准的VLC播放器进行了测试,在恶意软件中添加任意插件文件,匹配该文件与VLC支持的模式,然后通过本地访问目标系统即可发动攻击。

此次测试中,尽管提前进行了修改,但VLC仍由TCC系统进行验证,且仍能生成合成点击执行恶意操作。截至目前,Wardle已向苹果报告该发现,苹果暂未对此作出回应。

来源: Hackernews、 ISEC安全e站

macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码 2019 看雪安全开发者峰会门票正在热售中!

长按识别上方 二维码 即可享受  2.5折  优惠!

macOS零日漏洞曝光,允许黑客绕过系统安全功能执行恶意代码

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多干货


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

ASP.NET动态网站开发基础教程

ASP.NET动态网站开发基础教程

郭兴峰 / 清华大学 / 2006-5 / 32.00元

ASP.NET是由Microsoft公司推出的新一代Web开发构架。开发人员可以通过ASP.NET实现动态网站的开发,包括开发Web应用程序和Web服务。   本书详细讲解了ASP.NET动态网站开发技术,共分13章,内容包括ASP.NET语言基础、HTML与Script语言、C#语言基础、ASP.NET常用对象、数据库访问技术、数据服务控件和数据绑定技术、ASP.NET配置和部署、ASP.......一起来看看 《ASP.NET动态网站开发基础教程》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

html转js在线工具
html转js在线工具

html转js在线工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试