圖片來源:翻攝自https://twitter.com/objective_see/status/1135636929586896899

Digita Security研究長暨Objective-See創辦人Patrick Wardle本周揭露了一個藏匿在蘋果最新作業系統macOS 10.14(Mojave)的零時差漏洞,將允許惡意程式繞過macOS的安全機制,得以讓駭客存取Mac裝置上的資料、攝影機或麥克風。

蘋果在去年發表的macOS Mojave內建一個安全機制,舉凡企圖存取攝影機、麥克風、照片、瀏覽器歷史紀錄或電子郵件的程式,都必須利用對話框來取得使用者的明確同意,而為了避免程式偽造對話框上的點擊,蘋果也禁用了合成點擊(synthetic clicks)功能。

但為了讓舊有的程式也能相容於Mojave,該作業系統設有一個白名單,且允許名單內的程式執行合成點擊。不過,Wardle卻發現白名單中的安全機制只檢查程式可執行檔的加密簽章,並未審核程式執行時所載入的外掛或腳本程式。

於是,Wardle選擇了被蘋果列為白名單中的VLC影音播放程式,利用一個支援VLC的惡意外掛程式來執行偽造的合成點擊,等於是允許他直接取得可存取攝影機、麥克風或瀏覽器歷史紀錄的權限。

Wardle為知名的macOS安全專家,他在上周將漏洞資訊提交給蘋果,但本周就公布了漏洞細節。他說,這是因為過去他已向蘋果提出很多次的合成點擊漏洞,但類似的漏洞卻不斷地出現,顯示蘋果的安全稽核非常地鬆散。

此外,他也抱怨蘋果在收到漏洞通知之後,雖然會修補,卻總是修補不完全,此事一來讓安全研究人員感到很挫敗,二來這也讓得知漏洞細節的駭客有機可趁,陷蘋果用戶於安全風險中。

蘋果顯然還來不及修補這個由Wardle所提出的零時差漏洞,但它屬於第二階段的攻擊漏洞,因為企圖開採此一漏洞的駭客必須先取得Mac電腦的本地端權限才行。


Advertisement

更多 iThome相關內容