Купить дедик, RDP, сервер

Уязвимость macOS Zero-Day позволяет хакерам обходить защиту безопасности с помощью синтетических кликов

F

FRANKENSTEIN

macOS-Zero-Day.png

Новая уязвимость нулевого дня в macOS позволяет хакерам обойти предупреждения системы безопасности и легко скомпрометировать синтетический клик. Исследователь безопасности Патрик Уордл показал критическую уязвимость на своей цели конференции у моря в эти выходные.

В прошлом году он показал, что можно создавать синтетические клики со скриптами автоматизации в macOS High Sierra, позже в macOS Mojave были экспортированы защиты конфиденциальности.

Теперь он нашел другой способ обойти защиту безопасности, чтобы выполнить синтетические клики и получить доступ к данным пользователя без согласия пользователя.

Уязвимость находится в коде Apple, который проверяет только наличие сертификата, но не целостность доверенных приложений. Злоумышленник может подделать приложение из списка доверенных приложений для создания синтетических кликов, что обычно разрешалось операционной системой.

Wardle продемонстрировал атаку с VLC media player, чтобы доставить его вредоносный плагин для создания синтетического клика на приглашение без согласия пользователя.

” Для VLC я просто бросил новый плагин, VLC загружает его, и поскольку VLC загружает Плагины, мой вредоносный плагин может генерировать синтетический клик, который полностью разрешен, потому что система видит свой VLC, но "не проверяет, что пакет, чтобы убедиться, что он "не был подделан", — объяснил он Techcrunch.

macOS.png

Чтобы выполнить атаку, злоумышленник должен иметь физический доступ к ноутбуку, но не должен иметь каких-либо повышенных привилегий.

Уордл сообщил об уязвимости Apple до недели, и компания подтверждает отчет, но неясно, когда планируется устранить уязвимость.