Apple | Bezpečnost | Operační systémy | macOS

Systém oprávnění v macOS lze obejít. Aplikace se mohou dostat k uživatelským datům

Apple v nejnovějším macOS posílil ochranu proti tomu, aby aplikace získaly přístup k uživatelským datům aniž by jim dal uživatel vyslovený souhlas. Nyní se ale ukazuje, že použité zabezpečení není dostatečné a lze jej obejít.

Nejnovější macOS Mojave obsahuje podobný systém oprávnění, který známe z mobilních platforem. Když chce aplikace přístup například ke kontaktům či webkameře, vyvolá systémové pop-up okno, kde musí uživatel přístup potvrdit. Původně se dalo toto omezení obejít za pomoci naskriptovaných kliknutí skrze Apple Script či za použití ovládání myši skrze numerickou klávesnici, Apple ale tuto chybu opravil.

Nyní ale Patrick Wardle, bývalý zaměstnanec NSA, objevil, že se dá využít právě „robotických“ kliknutí. Vybrané aplikace na nezdokumentovaném whitelistu totiž mohou v systému stále kliknutí simulovat. To by samo o sobě problémem nebylo – každá aplikace musí být podepsána certifikátem, který se kontroluje a zaručuje pravost aplikace. Stejně tak by mělo docházet ke kontrole integrity, zda někdo s aplikací nemanipuloval.

K této druhé kontrole ale podle Wardla nedochází a macOS pouze kontroluje existenci certifikátu. Mezi aplikace na povoleném seznamu patří například i VLC, které využil právě pro demonstraci útoku. Stačilo připravit plugin, který dokáže generovat falešná kliknutí, a poněvadž je VLC na seznamu povolených aplikací a systém nekontroluje, zda s ním nebylo manipulováno, podařilo se získat oprávnění k uživatelským datům.

K provedení útoku je ale třeba mít přístup k počítači, nehrozí tak hromadné zneužívání. Přesto se jedná právě o tu situaci, které má systém oprávnění předcházet. Wardle navíc Apple varoval před podobnými problémy již v dřívějších letech, podle něj ale jim firma nepřikládá dostatečnou váhu. 

Co může zlomit vaz technologický gigantům?

Zdroj: TechCrunch

Diskuze (7) Další článek: Rusko chce do roku 2030 přistát na Měsíci s lidskou posádkou

Témata článku: , , , , , , , , , , , , , , , , , , , ,