WWDC2022-2023 er ikke den eneste alvorlige nyhed på skrivebordet hos Apples ingeniører i morges.
Hvis den udnyttes korrekt, kan en ondsindet app narre din MacBook eller enhver form for nuværende Mac til at tro, at det er dig og gøre, hvad den vil. Sikkerhedsforsker Patrick Wardle, chefforsker ved Digita Security, afslørede et macOS -sikkerhedsgab i går (2. juni) på en konference i Monaco, der blev kaldt Objective by the Sea.
Desværre har Apple endnu ikke rettet denne fejl, og Wardle fortalte selskabet først i sidste uge. For at beskytte dig selv skal du være meget forsigtig med programmer, du downloader direkte fra internettet. Det ville være bedre at holde sig til den officielle Mac App Store i stedet.
Spøgelse klikker
Problemet er ifølge Wardle, at Apple lader en håndfuld ældre applikationer (for det meste ældre versioner af nuværende apps som den populære VLC -medieafspiller) fortsætte med at bruge "syntetiske klik", en funktion, der havde ladet applikationer omgå Apples seneste sikkerhedshindringer ved at efterligne en autoriseret bruger, hvis tilladelse er nødvendig for at tillade visse handlinger.
Ifølge EclecticLight.co indeholder listen over ældre apps, som Apple har godkendt til at kunne bruge syntetiske klik, gamle versioner af Steam, VLC, Sonos Mac Controller og Logitech Manager.
Efter at Wardle og andre forskere sidste sommer viste, hvordan syntetiske klik kunne bruges til at angribe Mac'er, lukkede Apple døren til funktionen med macOS Mojave. Men for at lade ældre apps fortsætte med at fungere - Wardle havde advaret om, at helt at dræbe syntetiske klik ville "bryde mange legitime applikationer" - fik de ældre apps dispensation.
"Dette er frustrerende som forsker hele tiden at finde måder at omgå Apples beskyttelse," sagde Wardle til Threatpost. "Jeg ville være naiv at tro, at der ikke er andre hackere eller sofistikerede modstandere, der også har fundet lignende huller i Apples forsvar."
Kontrollerer ikke kamrene
Apple har en anden beskyttelse. Det tillader kun applikationer på en Apple -hvidliste at bruge syntetiske klik, uanset om disse apps er ældre eller ej. Problemet er, at verificeringsprocessen er dybt mangelfuld.
MacOS verificerer kun apps ved at kontrollere deres digitale signaturer og ikke ved faktisk at kontrollere koden inde i disse apps eller sørge for, at de ikke indlæser ekstra kode, når de begynder at køre. I går beviste Wardle sine bekymringer gyldige ved at injicere et ondsindet plugin i VLC, et, der kunne udføre syntetiske klik - falske brugerhandlinger - som Apple typisk blokerer i apps.
Forestil dig en TSA -sikkerhedsagent, der kun tjekker dit id og ikke skubber din bagage gennem scanningsbakken. Det er spørgsmålet her.
"Den måde, hvorpå de implementerede denne nye sikkerhedsmekanisme, er den 100 procent brudt," sagde Wardle til Wired. "Jeg kan omgå alle disse nye Mojave -fortrolighedsforanstaltninger."
Narre brugeren
Det er ikke svært at narre brugere til at installere applikationer, der er blevet beskadiget og våbnede mod brugeren. Et stort eksempel på dette skete i virkeligheden i marts 2016 med den populære BitTorrent -klientoverførsel.
En angriber behøver måske ikke engang at narre nogen. I 2016 viste Wardle, hvordan en beskadiget opdatering af legitim software, brugeren allerede havde installeret - i dette eksempel, Kaspersky Internet Security til Mac - kunne omgå alle Apples sikkerhedsmekanismer til infektion af en Mac.
Sjusket sikkerhedspraksis
Wardles seneste tale er blevet rapporteret om af en række forretninger, herunder The Register.
Hvordan skete dette? Wardle fortalte The Register, at "Hvis nogen sikkerhedsforsker eller en person hos Apple med en sikkerhedsindstilling havde revideret denne kode, ville de have bemærket det. Når du har set denne fejl, er den triviel,"
"De reviderer ikke koden," tilføjede han. "Yhey implementerer disse nye sikkerhedsfunktioner, men virkeligheden er, at de ofte implementeres forkert."
- Hvorfor WWDC vil indlede en ny æra til Apple