Microsoft разкрива уязвимост в macOS, заобикаляща контролите за поверителност в Safari

Microsoft разкри детайли за наскоро коригирана уязвимост в рамката на macOS за "Прозрачност, съгласие и контрол" (TCC)

Microsoft разкри детайли за наскоро коригирана уязвимост в рамката на macOS за "Прозрачност, съгласие и контрол" (TCC), която вероятно е била използвана за заобикаляне на предпочитанията за поверителност на потребителите и достъп до техните данни. Недостатъкът, наречен HM Surf и проследен като CVE-2024-44133, бе адресиран от Apple в актуализацията на macOS Sequoia 15, чрез премахване на уязвимия код.

Как работи уязвимостта HM Surf?

Според Microsoft, уязвимостта HM Surf включва премахването на TCC защитата на директорията на браузъра Safari и модифицирането на конфигурационен файл в тази директория. Този подход позволява на атакуващите да получат достъп до данни като посетени уеб страници, местоположението на устройството, камерата, микрофона и други чувствителни ресурси, без съгласието на потребителя.

Jonathan Bar Or от екипа на Microsoft Threat Intelligence обяснява, че експлойтът е особено тревожен, защото заобикаля TCC защитите, които са създадени за да предотвратяват неоторизиран достъп до лична информация. Атаката разчита на промяна на конфигурационните файлове в Safari, които управляват достъпа до камерата, микрофона и местоположението на потребителя.

Стъпките на експлойта

Експлойтът се изпълнява в няколко основни стъпки:

1. Промяна на началната директория на текущия потребител чрез dscl утилитата, която не изисква TCC достъп в macOS Sonoma.
2. Модифициране на чувствителни файлове (като например PerSitePreferences.db) в директорията на Safari в домашната директория на потребителя.
3. Възстановяване на оригиналната начална директория, което позволява на Safari да използва променените файлове.
4. Стартиране на Safari и отваряне на уеб страница, която може да активира камерата или да получи достъп до местоположението на устройството, без да изисква допълнително съгласие от потребителя.

Потенциални атаки и последствия

Атаката може да бъде разширена за записване на цели видео потоци от камерата или да заснеме аудио през микрофона на Mac, без знанието на потребителя. Проблемът не засяга трети браузъри като Chrome или Firefox, тъй като те нямат същите привилегии като Safari.

Microsoft отбелязва, че е засечена подозрителна активност, свързана с познатата macOS рекламна заплаха AdLoad, която вероятно експлоатира уязвимостта HM Surf. Това подчертава важността на навременното инсталиране на актуализации и защитата от подобни атаки.

Защита срещу уязвимостта

Apple вече е премахнала уязвимия код като част от актуализацията на macOS Sequoia 15, което намалява риска от подобни атаки. Microsoft обаче подчертава, че новите защити са ограничени до Safari, и в момента се работи с други основни браузъри за проучване на допълнителни мерки за защита.