圖片來源: 

Patrick Wardle

前NSA駭客、現任安全公司Digita Security研究長Patrick Wardle發現 macOS High Sierra有一去年發現可讓駭客執行合成點擊攻擊的漏洞,現在又再次出現。

Wardle上周在Def Con駭客大會上公佈這項研究。合成點擊原本是macOS中提供無法按滑鼠的身障人士的一項功能,利用程式達到點擊效果。為防止濫用,macOS加入「User-Approved Kext」的安全功能,要求使用者必須在系統跳出的安全對話框中,以滑鼠點擊「允許」鍵才能放行,以防有人利用合成點擊存取敏感資料或載入惡意程式。

不過Wardle指出mac OS High Sierra有個能放行合成點擊的漏洞CVE-2017-7150。在macOS中,滑鼠點擊按(down)與放(up)被視為二個動作。他偶然發現,如果在up之前以程式碼製造連續二個down,就會被High Sierra誤認為是合法的手動點擊,等於是製造「虛擬」或隱形點擊行為,模擬點選「OK」、「允許」等動作。

他指出,結合合成點擊和該漏洞的結果非常危險,能輕鬆繞過蘋果的User-Approved Kext及第三方安全工具,執行不可信賴的app、洩露keychain所有密碼、安裝系統核心擴充程式、授權對外網路連線,所有行為通通都可以,全部都不需要使用者點滑鼠。

事實上,Wardle去年就曾揭露過這個的漏洞,蘋果也曾經修補過。但他指出,這顯示蘋果的修補完全沒有用,只要執行零時差攻擊,即讓未獲授權的程式碼執行合成事件。

Wardle自己都頗為驚訝,因為只要簡單二行程式碼就能完全瓦解這個安全機制,Apple Insider引述因為太簡單了,他都不好意思說出來,「雖然我替蘋果更感到不好意思」。

不過他表示,這項漏洞僅影響High Sierra。不會影響之前mac OS版本,而下一版的10.14 Mojave也已經完全封鎖合成事件。


Advertisement

更多 iThome相關內容