Apple все ще має проблеми з припиненням синтетичних кліків

  • Sep 03, 2023

Дослідник безпеки Mac розкриває нульовий день для обходу заборони на синтетичні події.

apple-hq-logo.jpg

WWDC 201

  • Чому ці оголошення важливі
  • iPadOS: покращений Safari, багатозадачність, новий головний екран
  • Новий Mac Pro, чудова робоча станція
  • iOS 13 отримує нові функції конфіденційності
  • Оновлення WatchOS 6
  • Усе, що щойно оголосила Apple (CNET)
  • Що потрібно знати компаніям (TechRepublic)

Синтетичні події залишаються великою дірою в безпеці macOS, незважаючи на нещодавні зусилля Apple, щоб запобігти зловживанню цією функцією зловмисних програм.

Виступаючи на другому випуску в Мета конференції з безпеки на морі який відбувся в Монако на вихідних, Патрік Вордл, відомий експерт із безпеки Apple, оприлюднив нульовий день, який вплинув на операційну систему Apple macOS, включаючи нову версію, запущену сьогодні.

Нульовий день — це обхід засобів захисту, які Apple запровадила для запобігання несанкціонованому доступу до синтетичних подій.

Небезпека синтетичних подій

Синтетичні події — це механізм macOS, який дозволяє програмам автоматизувати клацання мишею та введення з клавіатури. Його було створено з метою автоматизації, і його можна використовувати або через структуру Core Graphics, або через мову сценаріїв AppleScript.

За останні кілька років зловмисне програмне забезпечення, наприклад ДияволРозбійник, FruitFly, і Genieo зловживали синтетичними подіями для автоматизації операцій на заражених хостах.

Штами зловмисного програмного забезпечення, які зловживають синтетичними подіями, є надзвичайно небезпечними та нав’язливими, оскільки вони можуть обійти продукти безпеки Apple і сторонніх виробників, автоматично відхиляючи сповіщення.

Крім того, синтетичні події також можуть завантажувати розширення ядра, скидати паролі брелоків жертв, отримувати дані геолокації системи, крадіжка контактів, налаштування параметрів ОС, доступ до веб-камери, виконання команд терміналу, і більше.

Для будь-якого зловмисного програмного забезпечення, що містить синтетичні події, немає межі — головним чином завдяки дизайну функції та глибокому рівню доступу.

Нові гранти нульового дня обходять заборону на синтетичні події

Вже майже два роки Уордл розглядає контрзаходи Apple, спрямовані на запобігання зловживанню синтетичними подіями.

Раніше він продемонстрував два методи [1, 2] обходу захисту синтетичних подій Apple настільки, що минулого року Apple вирішила заблокувати доступ до синтетичних подій за замовчуванням.

Але на вихідних Уордл знову розкрив новий спосіб обходу останніх засобів захисту.

«Це дар, який продовжує дарувати», — сказав Уордл ZDNet електронною поштою. «І насправді стає все більш цінним, оскільки Apple додає більше засобів захисту (механізмів конфіденційності та безпеки), які можна «дозволити» одним клацанням».

Нова методика можлива завдяки Система згоди та контролю прозорості (TCC).. Уордл каже, що TCC містить базу даних сумісності у формі файлу під назвою AllowApplications.plist.

У цьому файлі перераховано програми та версії програм, яким дозволено доступ до різноманітних функцій конфіденційності та безпеки, зокрема синтетичних подій.

«Це сфера, де Apple часто має труднощі — комплексне виправлення помилок або класів помилок», — сказав Вордл. ZDNet. «Я думав, що вони зробили це правильно в Mojave, оскільки спочатку здавалося, що вони просто блокують усі синтетичні кліки. Але, як завжди, диявол криється в деталях", - сказав він.

Помилка перевірки програми TCC

За словами Вордла, ця прихована база даних TCC містить помилку, яку можна використати, щоб надати зловмисникам доступ до синтетичних подій.

Передбачається, що macOS перевіряє, чи програма, яка запитує доступ до синтетичних подій, справді є в списку TCC. Він робить це, перевіряючи, чи було підписано програму та чи не було змінено файл. Однак Уордл каже, що виконується лише перша перевірка.

Це дозволяє зловмиснику, який має мінімальний доступ до системи, завантажити будь-яку програму, знайдену в Файл AllowApplications.plist, додайте код, який взаємодіє з синтетичними подіями, і запустіть його, щоб обійти існуючу заборону Apple на синтетичні події.

Зображення: Патрік Вордл

«Наприклад, VLC є в списку, тому теоретично Apple намагається перевірити, що коли вона бачить програму під назвою VLC, це справді VLC.app, і що це первинну (не модифіковану) версію, перевіривши інформацію про підписання коду цієї програми (тобто її підписав розробник VLC і що підпис все ще дійсний)" – сказав Вордл.

«Проблема в тому, що перевірка неповна, тому вони лише перевіряють, чи підписана програма вони вважають, що це має бути (тобто VLC, підписане розробником VLC), але не виконуваний код або програма ресурси.

«Так, ви можете додати шкідливий код або додати шкідливі ресурси тощо», — додав Вордл.

«Як приклад, VLC завантажує плагіни зі свого набору програм. Тож ми можемо просто додати новий (зловмисний непідписаний) плагін. Він завантажується, і йому дозволено генерувати синтетичні клацання», — сказав Вордл.

Розповів дослідник безпеки ZDNet що він повідомив Apple про цю проблему більше тижня тому. «Я вважаю, що патч знаходиться в розробці, хоча я не знаю терміни його випуску», — сказав Вордл.

UAG Ремінці для Apple Watch: недорогі, міцні, привабливі ремінці

Інші звіти про вразливості:

  • Майже мільйон систем Windows вразливі до BlueKeep (CVE-2019-0708)
  • Виявлено інтенсивне сканування для недоліку BlueKeep RDP
  • Журнали створення CI продовжують розкривати секрети компанії
  • Дослідник третій день поспіль публікує Windows zero-days
  • Мобільні Chrome, Safari та Firefox більше року не відображали попереджень про фішинг
  • Microsoft видає друге попередження про виправлення BlueKeep, оскільки код PoC стає публічним
  • Атака KRACK: ось як реагують компаніїCNET
  • 10 найпоширеніших уразливостей додатків: домінують невиправлені плагіни та розширення TechRepublic