昨天,苹果公司宣布新版本的 macOS,名叫卡塔琳娜。另一方面,该公司没有对其 macOS Mojave 操作系统中的新零日漏洞发表评论,安全研究员帕特里克·沃德尔 (Patrick Wardle) 在前一天的一次会议上透露了这一漏洞。此漏洞允许恶意软件生成虚假点击,从而验证某些安全警报,例如摄像头或麦克风访问,或内核扩展的安装。对于已经在计算机上成功安装代码的攻击者来说,这是将其权限提升到最高级别的好方法。
#macOS #0天在 ##莫哈韦沙漠即将通过@帕特里克沃德👾💥#OBTS pic.twitter.com/1UQsT8tzlx
— Objective-See 基金会 (@objective_see)2019 年 6 月 2 日
很有用的功能,但容易误用
此缺陷的利用依赖于允许生成虚拟点击的 macOS 功能。某些应用程序使用它来满足可访问性或自动化需求。授权进行这些虚拟点击的应用程序已列入白名单。不幸的是,基本的验证程序是有缺陷的。据帕特里克·沃德尔 (Patrick Wardle) 称,您所要做的就是选择此列表中的应用程序之一(例如 VLC),然后将恶意代码插入其中。 macOS 系统只看到火,并授权伪造的 VLC 应用程序使用虚拟点击功能,从而绕过安全警报。“就像我订了机票,在通过安检时,我只给了一张写有我名字的纸来识别我的身份””,研究人员向 Decipher 信息网站解释道。目前尚无针对此缺陷的修复方法。
这并不是帕特里克·沃德尔第一次破坏安全警报应提供的保护。苹果在一年前,即 2018 年 6 月在 macOS 中推广了这种类型的访问控制。从那时起,研究人员已经找到了两种绕过它们的方法。这些缺陷已得到修补,但显然该程序尚未经过彻底审核。损害。
来源:黑客新闻
