WWDC2022-2023 er ikke den eneste alvorlige nyheten på skrivebordene til Apples ingeniører i morges.
Hvis den utnyttes på riktig måte, kan en ondsinnet app lure MacBook -en din, eller hvilken som helst slags nåværende Mac, til å tro at det er deg og gjøre hva den vil. Sikkerhetsforsker Patrick Wardle, forskningssjef i Digita Security, avslørte et macOS -sikkerhetshull i går (2. juni) på en konferanse i Monaco kalt Objective by the Sea.
Dessverre har Apple ennå ikke reparert denne feilen, og Wardle fortalte selskapet om det bare i forrige uke. For å beskytte deg selv må du være veldig forsiktig med programmer du laster ned direkte fra internett. Det ville være bedre å holde seg til den offisielle Mac App Store i stedet.
Spøkelses klikk
Problemet, ifølge Wardle, er at Apple lar en håndfull eldre applikasjoner (for det meste eldre versjoner av nåværende apper som den populære VLC mediespilleren) fortsette å bruke "syntetiske klikk", en funksjon som lot applikasjoner omgå Apples siste sikkerhetshinder ved å etterligne en autorisert bruker hvis tillatelse er nødvendig for å tillate visse handlinger.
Ifølge EclecticLight.co inneholder listen over eldre apper som Apple har godkjent for å kunne bruke syntetiske klikk gamle versjoner av Steam, VLC, Sonos Mac Controller og Logitech Manager.
Etter at Wardle og andre forskere i fjor sommer viste hvordan syntetiske klikk kan brukes til å angripe Mac -er, lukket Apple døren til funksjonen med macOS Mojave. Men for å la eldre apper fortsette å fungere - Wardle hadde advart om at å drepe syntetiske klikk helt ville "bryte mange legitime applikasjoner" - de eldre appene fikk dispensasjon.
"Dette er frustrerende som forsker å kontinuerlig finne måter å omgå Apples beskyttelse," sa Wardle til Threatpost. "Jeg ville være naiv å tro at det ikke er andre hackere eller sofistikerte motstandere som også har funnet lignende hull i Apples forsvar."
Sjekker ikke kamrene
Apple har en annen beskyttelse. Det tillater bare applikasjoner på en Apple -hviteliste å bruke syntetiske klikk, enten disse appene er eldre eller ikke. Problemet er at verifikasjonsprosessen er dypt feil.
MacOS bekrefter bare appene ved å sjekke de digitale signaturene, og ikke ved å sjekke koden inne i disse appene eller sørge for at de ikke laster inn ekstra kode etter at de begynner å kjøre. I går beviste Wardle at hans bekymringer var gyldige ved å injisere et ondsinnet plugin i VLC, en som kunne utføre syntetiske klikk - falske brukerhandlinger - som Apple vanligvis blokkerer i apper.
Tenk deg en TSA -sikkerhetsagent som bare sjekker ID -en din og ikke skyver bagasjen din gjennom skannebrettet. Det er saken her.
"Slik de implementerte denne nye sikkerhetsmekanismen, er den 100 prosent ødelagt," sa Wardle til Wired. "Jeg kan omgå alle disse nye Mojave -personverntiltakene."
Lurer brukeren
Det er ikke vanskelig å lure brukere til å installere applikasjoner som har blitt ødelagt og våpen mot brukeren. Et stort eksempel på dette skjedde i virkeligheten i mars 2016 med den populære BitTorrent -klientoverføringen.
En angriper trenger kanskje ikke engang å lure noen. I 2016 viste Wardle hvordan en ødelagt oppdatering av legitim programvare som brukeren allerede hadde installert - i dette eksempelet, Kaspersky Internet Security for Mac - kunne omgå alle Apples sikkerhetsmekanismer for å infisere en Mac.
Slurvete sikkerhetsrutiner
Wardles siste tale har blitt rapportert om av en rekke utsalgssteder, inkludert The Register.
Hvordan skjedde dette? Wardle sa til The Register at "Hvis noen sikkerhetsforsker eller noen hos Apple med en sikkerhetsinnstilling hadde revidert denne koden, ville de ha lagt merke til den. Når du ser denne feilen, er den triviell,"
"De kontrollerer ikke koden," la han til. "Yhey implementerer disse nye sikkerhetsfunksjonene, men virkeligheten er at de ofte blir implementert feil."
- Hvorfor WWDC vil innlede en ny æra for Apple