Новости HM Surf: рекламное ПО беспрепятственно вторгается в macOS

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Что бы произошло с продуктами Apple, если бы не вмешалась Microsoft?


15tt0od49ac9r0pzrzlsahsqbevhnn83.jpg


Microsoft Для просмотра ссылки Войди или Зарегистрируйся об уязвимости в фреймворке Apple Transparency, Consent, and Control ( TCC ), используемом в macOS . Уязвимость, получившая кодовое имя HM Surf и обозначенная как Для просмотра ссылки Войди или Зарегистрируйся позволяет обходить настройки конфиденциальности пользователей и получать доступ к их данным.

Проблема Для просмотра ссылки Войди или Зарегистрируйся в обновлении macOS Sequoia 15 путём удаления уязвимого кода. Уязвимость позволяла злоумышленникам получить доступ к конфиденциальным данным, включая посещённые веб-страницы, использование камеры, микрофона и местоположения устройства без согласия пользователя. Это достигалось за счёт удаления защиты TCC для директории Safari и изменения конфигурационных файлов.

Microsoft сообщила, что уязвимость затрагивает только Safari, и компания работает с другими производителями браузеров над усилением защиты локальных файлов конфигураций.

Ранее Microsoft обнаруживала подобные уязвимости в macOS, такие как Shrootless, powerdir, Achilles и Migraine, которые также позволяли обходить системы безопасности. В случае HM Surf атака включала изменение домашней директории пользователя и модификацию чувствительных файлов, таких как «PerSitePreferences.db», что позволяло Safari использовать подменённые данные при запуске.

Safari обладает уникальными правами, позволяющими обходить TCC через привилегии «com.apple.private.tcc.allow», но также использует механизм Hardened Runtime, затрудняющий выполнение произвольного кода. При этом, как и ранее, при первом запросе доступа к камере или геолокации браузер выводит всплывающее окно для подтверждения.

Microsoft отметила, что эта уязвимость потенциально использовалась в известной кампании по распространению рекламного ПО AdLoad. Однако, из-за отсутствия полной информации о методах атаки, специалисты не смогли подтвердить, использовался ли эксплойт HM Surf на самом деле. Тем не менее, подобные атаки подчёркивают важность своевременного обновления системы безопасности.
 
Источник новости
www.securitylab.ru