Apple macOS安全保护可以通过“合成”点击轻松绕过

 
据悉，一位安全研究人员披露了一个新的漏洞，它破坏了核心macOS安全功能，旨在防止应用程序或恶意软件在未经他们明确许可的情况下访问用户的私人数据，网络摄像头或麦克风。
最近在macOS Mojave中扩展的隐私保护措施旨在使恶意应用程序更难以访问用户的私人信息 – 例如他们的联系人，日历，位置和消息 – 除非用户点击弹出框中的“允许” 。这些保护措施还可以防止应用程序在未经同意的情况下打开Mac的网络摄像头和麦克风。苹果公司的Craig Federighi在去年的WWDC开发者大会上将安全功能称为“人们选择Apple的原因之一”。
但保护措施并不是很好。这些“允许”框可以通过恶意制造的点击进行破坏。
之前可以通过使用macOS的内置自动化功能AppleScript或使用鼠标键创建人工或“合成”点击，鼠标键允许用户和恶意软件使用键盘上的数字键盘控制鼠标光标。在以前的macOS版本中修复这些错误后，Apple目前的防御措施是阻止所有合成点击，要求用户实际点击按钮。
但现在担任Digita Security首席研究官的前国家安全局黑客帕特里克·沃德尔说，他发现了另一种绕过这些保护措施的方法。
Wardle周日在摩纳哥举行的Objective By The Sea会议上透露了这一零日漏洞。该漏洞源于一个未经证实的macOS应用程序的无证白名单，允许创建合成点击以防止它们破坏。
通常，应用程序使用数字证书进行签名，以证明该应用程序是真实的并且未被篡改。如果应用程序已被修改为包含恶意软件，则证书通常会标记错误，操作系统将不会运行该应用程序。但Apple代码中的一个错误意味着该macOS仅检查证书是否存在且未正确验证白名单应用的真实性。
“苹果公司唯一要做的就是确认申请是由他们认为的人签署的，”他说。由于macOS未检查应用程序是否已被修改或操作，因此可以利用受管理的白名单应用程序版本来触发合成点击。
其中一个获得批准的应用是VLC，这是一款流行且高度可定制的开源视频播放器，允许插件和其他扩展。 Wardle表示，未经用户许可，可以使用VLC作为恶意插件的传送工具，在同意提示上创建合成点击。
“对于VLC，我只是放入一个新的插件，VLC加载它，并且因为VLC加载插件，我的恶意插件可以生成合成点击 – 这是完全允许的，因为系统看到它的VLC但是没有验证捆绑到确保它没有被篡改，“他解释说
“所以我的合成事件能够点击并访问用户位置，网络摄像头，麦克风，”他说。
Wardle将此漏洞描述为“第二阶段”攻击，因为该漏洞已经要求攻击者(或恶意软件)访问计算机。但正是在这种情况下，计算机上的恶意软件试图通过Apple试图阻止的同意框点击，Wardle说。
他说他上周告诉苹果公司这个漏洞，但这家科技巨头尚未发布补丁。 “这不是一次远程攻击，所以我认为这不会让大量Mac用户立即面临风险，”他说。