WWDC2022-2023 är inte den enda allvarliga nyheten på skrivbordet hos Apples ingenjörer i morse.
Om den utnyttjas på rätt sätt kan en skadlig app lura din MacBook, eller någon form av nuvarande Mac, att tro att det är du och göra vad den vill. Säkerhetsforskaren Patrick Wardle, forskningsansvarig på Digita Security, avslöjade ett macOS -säkerhetshål i går (2 juni) vid en konferens i Monaco som kallades Objective by the Sea.
Tyvärr har Apple ännu inte korrigerat detta fel, och Wardle berättade för företaget om det förra veckan. För att skydda dig själv måste du vara mycket försiktig med program du laddar ner direkt från internet. Det skulle vara bättre att hålla sig till den officiella Mac App Store istället.
Spökklick
Frågan, enligt Wardle, är att Apple låter en handfull äldre applikationer (mestadels äldre versioner av nuvarande appar som den populära VLC -mediaspelaren) fortsätta att använda "syntetiska klick", en funktion som hade låtit applikationer kringgå Apples senaste säkerhetshinder genom att efterlikna en auktoriserad användare vars tillstånd krävs för att tillåta vissa åtgärder.
Enligt EclecticLight.co innehåller listan över äldre appar som Apple har vitlistat för att kunna använda syntetiska klick gamla versioner av Steam, VLC, Sonos Mac Controller och Logitech Manager.
Efter att Wardle och andra forskare förra sommaren visade hur syntetiska klick kan användas för att attackera Mac, stängde Apple dörren till funktionen med macOS Mojave. Men för att låta äldre appar fortsätta att fungera - Wardle hade varnat för att helt döda syntetiska klick skulle "bryta många legitima applikationer" - de äldre apparna fick dispens.
"Detta är frustrerande som forskare att ständigt hitta sätt att kringgå Apples skydd", sa Wardle till Threatpost. "Jag skulle vara naiv att tro att det inte finns andra hackare eller sofistikerade motståndare som också har hittat liknande hål i Apples försvar."
Kontrollerar inte kamrarna
Apple har ett annat skydd. Det tillåter endast applikationer på en Apple -vitlista att använda syntetiska klick, oavsett om dessa appar är äldre eller inte. Problemet är att verifieringsprocessen är djupt bristfällig.
MacOS verifierar bara apparna genom att kontrollera deras digitala signaturer, och inte genom att faktiskt kontrollera koden inuti dessa appar eller se till att de inte läser in extra kod när de börjar köra. Igår bevisade Wardle att hans bekymmer var giltiga genom att injicera ett skadligt plugin i VLC, ett som kan utföra syntetiska klick - falska användaråtgärder - som Apple vanligtvis blockerar i appar.
Tänk dig en TSA -säkerhetsagent som bara kontrollerar ditt ID och inte skjuter ditt bagage genom skanningsfacket. Det är frågan här.
"Hur de implementerade den här nya säkerhetsmekanismen är den 100 procent trasig", sa Wardle till Wired. "Jag kan kringgå alla dessa nya Mojave -sekretessåtgärder."
Lurar användaren
Det är inte svårt att lura användare att installera applikationer som har skadats och vapenats mot användaren. Ett stort exempel på detta hände i verkligheten i mars 2016 med den populära BitTorrent -klientöverföringen.
En angripare kanske inte ens behöver lura någon. 2016 visade Wardle hur en skadad uppdatering av legitim programvara som användaren redan hade installerat - i det här exemplet, Kaspersky Internet Security for Mac - kan kringgå alla Apples säkerhetsmekanismer för att infektera en Mac.
Slarviga säkerhetsmetoder
Wardles senaste tal har rapporterats av ett antal butiker, inklusive The Register.
Hur hände det här? Wardle berättade för The Register att "Om någon säkerhetsforskare eller någon på Apple med ett säkerhetssinne hade granskat den här koden, skulle de ha märkt den. När du ser det här felet är det trivialt"
"De granskar inte koden", tillade han. "Yhey implementerar dessa nya säkerhetsfunktioner, men verkligheten är att de ofta implementeras felaktigt."
- Varför WWDC kommer att inleda en ny era för Apple