Apple | Operační systémy | Bezpečnost | macOS

Systém oprávnění v macOS lze obejít. Aplikace se mohou dostat k uživatelským datům

Systém oprávnění v macOS lze obejít. Aplikace se mohou dostat k uživatelským datům

Apple v nejnovějším macOS posílil ochranu proti tomu, aby aplikace získaly přístup k uživatelským datům aniž by jim dal uživatel vyslovený souhlas. Nyní se ale ukazuje, že použité zabezpečení není dostatečné a lze jej obejít.

Nejnovější macOS Mojave obsahuje podobný systém oprávnění, který známe z mobilních platforem. Když chce aplikace přístup například ke kontaktům či webkameře, vyvolá systémové pop-up okno, kde musí uživatel přístup potvrdit. Původně se dalo toto omezení obejít za pomoci naskriptovaných kliknutí skrze Apple Script či za použití ovládání myši skrze numerickou klávesnici, Apple ale tuto chybu opravil.

Nyní ale Patrick Wardle, bývalý zaměstnanec NSA, objevil, že se dá využít právě „robotických“ kliknutí. Vybrané aplikace na nezdokumentovaném whitelistu totiž mohou v systému stále kliknutí simulovat. To by samo o sobě problémem nebylo – každá aplikace musí být podepsána certifikátem, který se kontroluje a zaručuje pravost aplikace. Stejně tak by mělo docházet ke kontrole integrity, zda někdo s aplikací nemanipuloval.

K této druhé kontrole ale podle Wardla nedochází a macOS pouze kontroluje existenci certifikátu. Mezi aplikace na povoleném seznamu patří například i VLC, které využil právě pro demonstraci útoku. Stačilo připravit plugin, který dokáže generovat falešná kliknutí, a poněvadž je VLC na seznamu povolených aplikací a systém nekontroluje, zda s ním nebylo manipulováno, podařilo se získat oprávnění k uživatelským datům.

K provedení útoku je ale třeba mít přístup k počítači, nehrozí tak hromadné zneužívání. Přesto se jedná právě o tu situaci, které má systém oprávnění předcházet. Wardle navíc Apple varoval před podobnými problémy již v dřívějších letech, podle něj ale jim firma nepřikládá dostatečnou váhu. 

Co může zlomit vaz technologický gigantům?

Zdroj: TechCrunch

Diskuze (7) Další článek: Rusko chce do roku 2030 přistát na Měsíci s lidskou posádkou

Témata článku: Software, NSA, Apple, Operační systémy, Bezpečnost, macOS, VLC, MacBook, iMac, Mojave, Přístup, Uživatelská data, Data, Oprávnění, Patrick Wardle, Kliknutí, Systém, Aplikace


Určitě si přečtěte

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

** Co dělat s vysloužilým chytrým telefonem? Neházejte ho do koše! ** Našli jsme pro vás deset možností, jak ho prakticky využít ** I stará zařízení tak mohou být užitečná

Karel Kilián | 47



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF