Apple | Operační systémy | Bezpečnost | macOS

Systém oprávnění v macOS lze obejít. Aplikace se mohou dostat k uživatelským datům

Systém oprávnění v macOS lze obejít. Aplikace se mohou dostat k uživatelským datům

Apple v nejnovějším macOS posílil ochranu proti tomu, aby aplikace získaly přístup k uživatelským datům aniž by jim dal uživatel vyslovený souhlas. Nyní se ale ukazuje, že použité zabezpečení není dostatečné a lze jej obejít.

Nejnovější macOS Mojave obsahuje podobný systém oprávnění, který známe z mobilních platforem. Když chce aplikace přístup například ke kontaktům či webkameře, vyvolá systémové pop-up okno, kde musí uživatel přístup potvrdit. Původně se dalo toto omezení obejít za pomoci naskriptovaných kliknutí skrze Apple Script či za použití ovládání myši skrze numerickou klávesnici, Apple ale tuto chybu opravil.

Nyní ale Patrick Wardle, bývalý zaměstnanec NSA, objevil, že se dá využít právě „robotických“ kliknutí. Vybrané aplikace na nezdokumentovaném whitelistu totiž mohou v systému stále kliknutí simulovat. To by samo o sobě problémem nebylo – každá aplikace musí být podepsána certifikátem, který se kontroluje a zaručuje pravost aplikace. Stejně tak by mělo docházet ke kontrole integrity, zda někdo s aplikací nemanipuloval.

K této druhé kontrole ale podle Wardla nedochází a macOS pouze kontroluje existenci certifikátu. Mezi aplikace na povoleném seznamu patří například i VLC, které využil právě pro demonstraci útoku. Stačilo připravit plugin, který dokáže generovat falešná kliknutí, a poněvadž je VLC na seznamu povolených aplikací a systém nekontroluje, zda s ním nebylo manipulováno, podařilo se získat oprávnění k uživatelským datům.

K provedení útoku je ale třeba mít přístup k počítači, nehrozí tak hromadné zneužívání. Přesto se jedná právě o tu situaci, které má systém oprávnění předcházet. Wardle navíc Apple varoval před podobnými problémy již v dřívějších letech, podle něj ale jim firma nepřikládá dostatečnou váhu. 

Co může zlomit vaz technologický gigantům?

Zdroj: TechCrunch

Diskuze (7) Další článek: Rusko chce do roku 2030 přistát na Měsíci s lidskou posádkou

Témata článku: Software, Apple, Operační systémy, Bezpečnost, MacBook, macOS, VLC, NSA, iMac, Mojave, Patrick, Přístup, Kliknutí, Data, Oprávnění, Systém, Aplikace, Patrick Wardle, Uživatelská data


Určitě si přečtěte

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

** Mapy Googlu mají spoustu funkcí, které jsou často přehlíženy ** Využijte například podrobnější možnosti plánování cest ** Hodit se mohou i tipy na sdílení nebo pohledy do minulosti

Karel Kilián | 25

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

** Během pár týdnů přijdou na trh výkonnější notebooky ** Čím dražší notebook vybíráte, tím víc se vám změní nabídka ** Také lehké notebooky budou téměř herní

Tomáš Holčík | 52

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 66



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor