Een beveiligingsonderzoeker heeft een bug onthuld, die een belangrijke macOS-beveiligingsfunctie ondermijnt. De functie moet voorkomen dat apps of malware zonder toestemming van een gebruiker toegang krijgen tot privégegevens, webcam of microfoon.
De beveiligingsonderzoeker, Patrick Wardle, beweert een manier te hebben gevonden om deze beveiliging eenvoudig te omzeilen. Wardle is een voormalige NSA-hacker en tegenwoordig werkzaam als hoofdonderzoeker bij Digita Security.
Wardle beschrijft volgens TechCrunch de kwetsbaarheid als een ‘second stage’-aanval, gezien de bug een bestaande aanval of malware vereist om toegang te krijgen tot een computer. Het zijn precies dat soort aanvallen, waarbij malware op een computer probeert door te klikken op een toestemmingsbox, die Apple probeert te voorkomen.
Whitelist
De bug komt voort uit een ongedocumenteerde whitelist van goedgekeurde macOS-apps. Deze hebben toestemming om synthetische klikken te maken om te voorkomen dat ze breken. Doorgaans worden apps ondertekend met een digitaal certificaat om te bewijzen dat ze niet zijn gemanipuleerd. Als een app werd aangepast om malware toe te voegen, markeert het certificaat meestal een fout. Het besturingssysteem voert de app vervolgens niet uit.
Maar door een bug in de code controleert macOS alleen maar of een certificaat bestaat en wordt de authenticiteit van de app op de whitelist niet geverifieerd. “Het enige wat Apple doet is valideren dat de applicatie is ondertekend door wie ze denken dat het is. Een gemanipuleerde versie van een app op de whitelist kan worden misbruikt om een ​​synthetische klik te activeren, omdat macOS niet controleert of de toepassing is gewijzigd of gemanipuleerd”, aldus Wardle.
VLC
Eén van de goedgekeurde apps is de populaire opensource videospeler VLC. De app kan volgens Wardle worden gebruikt als ‘vervoersmiddel’ voor een kwaadwillende plug-in. Langs deze weg kan een ​​synthetische klik worden aangemaakt zonder toestemming van de gebruiker. Wardle: ”Voor VLC heb ik gewoon een nieuwe plug-in toegevoegd, VLC laadt het, en omdat VLC plug-ins laadt, kan mijn kwaadaardige plug-in een synthetische klik genereren. Dit is volledig toegestaan, ​​omdat het systeem ziet dat het om VLC gaat, maar de bundel niet controleert of ermee is geknoeid. Mijn synthetische klikken kunnen dus toegang krijgen tot de locatie van de gebruiker, webcam, microfoon.”
Wardle laat weten Apple afgelopen week op de hoogte te hebben gesteld van de bug. De computergigant heeft alleen nog geen patch uitgebracht. De beveiligingsonderzoeker vermoedt niet dat de bug een groot aantal Mac-gebruikers direct in gevaar brengt, omdat het geen aanval op afstand betreft.
Gerelateerd: Apple onthult macOS Catalina met iPad-app-ondersteuning