WWDC2021-2022-не єдина серйозна новина на робочому столі інженерів Apple цього ранку.
При правильному використанні шкідливий додаток може обдурити ваш MacBook або будь -який поточний Mac, подумавши, що це ви, і робитиме все, що захоче. Дослідник з питань безпеки Патрік Уордл, головний науковий співробітник Digita Security, вчора (2 червня) на конференції в Монако під назвою Objective by the Sea виявив лазівку в безпеці macOS.
На жаль, Apple ще не виправила цю ваду, і Уордл повідомив про це компанії лише минулого тижня. Щоб захистити себе, потрібно бути дуже обережним із програмами, які завантажуєте безпосередньо з Інтернету. Натомість краще було б дотримуватися офіційного Mac App Store.
Кліки привидів
Проблема, на думку Уордла, полягає в тому, що Apple дозволяє декільком застарілим програмам (переважно старішим версіям сучасних програм, таким як популярний медіаплеєр VLC) продовжувати використовувати "синтетичні клацання", функцію, яка дозволила програмам обходити останні перешкоди безпеки Apple імітуючи авторизованого користувача, дозвіл якого необхідний для здійснення певних дій.
Згідно з EclecticLight.co, список застарілих програм, які Apple включила у білий список для використання синтетичних кліків, включає старі версії Steam, VLC, Sonos Mac Controller та Logitech Manager.
Після того, як минулого літа Уордл та інші дослідники показали, як синтетичні клацання можна використати для атаки на Mac, Apple закрила двері щодо цієї функції за допомогою macOS Mojave. Але для того, щоб застарілі додатки продовжували працювати - Уордл попередив, що припинення синтетичних кліків повністю "зламає багато законних програм" - ці старі програми отримали відмову.
"Це засмучує дослідника постійно знаходити способи обійти захист Apple", - сказав Уордл Threatpost. "Я був би наївним вважати, що немає інших хакерів або витончених супротивників, які б також виявили подібні діри в захисті Apple".
Не перевіряють камери
У Apple є ще одна гарантія. Він дозволяє лише програмам із білого списку Apple використовувати синтетичні клацання, незалежно від того, чи є ці програми застарілими чи ні. Проблема в тому, що процес перевірки має глибокі недоліки.
MacOS лише перевіряє програми, перевіряючи їх цифрові підписи, а не перевіряючи код у цих програмах або не завантажуючи додатковий код після їх запуску. Вчора Уордл довів свою стурбованість, вставивши у VLC шкідливий плагін, який міг би виконувати синтетичні кліки - підроблені дії користувачів - які Apple зазвичай блокує у додатках.
Уявіть собі агента безпеки TSA, який перевіряє лише ваше посвідчення особи і не просуває ваш багаж через лоток для сканування. Ось тут питання.
"Те, як вони впровадили цей новий механізм безпеки, він на 100 відсотків зламаний", - сказав Уордл для Wired. "Я можу обійти всі ці нові заходи конфіденційності Mojave".
Обдурювання користувача
Не важко обдурити користувачів, встановлюючи пошкоджені та озброєні проти користувача програми. Яскравий приклад цього стався в реальному житті в березні 2016 року за допомогою популярного клієнта BitTorrent Transmission.
Зловмиснику може навіть не потрібно нікого обдурювати. У 2016 році Wardle показав, як пошкоджене оновлення законного програмного забезпечення, яке вже встановив користувач - у цьому прикладі Kaspersky Internet Security для Mac - може обійти всі механізми безпеки Apple, щоб заразити Mac.
Неохайні методи безпеки
Про останні розмови Уордла повідомляли ряд торгових точок, включаючи The Register.
Як це сталося? Уордл сказав The Register, що "якби будь -який дослідник безпеки або хтось із Apple з настроєм безпеки перевіряв цей код, вони б його помітили. Як тільки ви побачите цю помилку, це банально"
"Вони не перевіряють код", - додав він. "Yhey впроваджують ці нові функції безпеки, але насправді вони часто реалізуються неправильно".
- Чому WWDC відкриє нову еру для Apple