مایکروسافت جزئیاتی را درباره یک نقص امنیتی اصلاحشده در چارچوب شفافیت، رضایت و کنترل (TCC) اپل در macOS فاش کرده است که احتمالاً برای دور زدن تنظیمات حریم خصوصی و دسترسی به دادههای کاربر مورد بهرهبرداری قرار گرفته است.
این نقص که توسط این غول فناوری با کد HM Surf شناخته میشود، با نام CVE-2024-44133 ردیابی میشود. این آسیبپذیری توسط اپل بهعنوان بخشی از macOS Sequoia 15 با حذف کد آسیبپذیر موردبررسی قرار گرفت[۱].
Jonathan Bar Or از تیم مایکروسافت Threat Intelligence گفت[۲]:”HM Surf شامل حذف محافظ TCC برای فهرست مرورگر سافاری و تغییر یک فایل پیکربندی در دایرکتوری مذکور برای دسترسی به دادههای کاربر، ازجمله صفحات مرور شده، دوربین دستگاه، میکروفون و مکان، بدون رضایت کاربر است.”
مایکروسافت گفت که حفاظتهای جدید محدود به مرورگر سافاری اپل است و در حال همکاری با سایر فروشندگان بزرگ مرورگرها برای بررسی بیشتر مزایای سختکردن فایلهای پیکربندی محلی است.
HM Surf به دنبال کشف نقصهای MacOS Apple توسط مایکروسافت مانند [۳]Shrootless، [۴]powerdir، [۵]Achilles و [۶]Migraine است که میتواند عوامل مخرب را قادر سازد تا از اقدامات امنیتی چشمپوشی کنند.
درحالیکه TCC یک چارچوب امنیتی است که از دسترسی برنامهها به اطلاعات شخصی کاربران بدون رضایت آنها جلوگیری میکند، باگ جدید کشفشده میتواند به مهاجمان این امکان را بدهد که از این نیاز عبور کرده و به خدمات مکان، دفترچه آدرس، دوربین، میکروفون، فهرست دانلودها و موارد دیگر بهصورت غیرمجاز دسترسی پیدا کنند.
این دسترسی توسط مجموعهای از حقوق کنترل میشود، برنامههای خود اپل مانند سافاری این توانایی را دارند که با استفاده از حق “com.apple.private.tcc.allow” بهطور کامل TCC را دور بزنند.
درحالیکه این آسیبپذیری اجازه میدهد تا Safari آزادانه به مجوزهای حساس دسترسی پیدا کند، اما مکانیسم امنیتی جدیدی به نام [۷]Hardened Runtime را نیز در خود جای داده است که اجرای کد دلخواه در زمینه مرورگر وب را به چالش میکشد.
گفته میشود، وقتی کاربران از وبسایتی بازدید میکنند که برای اولین بار درخواست دسترسی به موقعیت مکانی یا دوربین را میدهد، سافاری از طریق یک پنجره TCC مانند، دسترسی را درخواست میکند. این حقوق بر اساس هر وبسایت در فایلهای مختلفی که در فهرست «~/Library/Safari» قرار دارند ذخیره میشوند.
بهرهبردار HM Surf که توسط مایکروسافت طراحی شده است به انجام مراحل زیر بستگی دارد:
- تغییر دایرکتوری اصلی کاربر فعلی با ابزار [۸]dscl، مرحلهای که نیازی به دسترسی TCC در macOS Sonoma ندارد.
- تغییر فایلهای حساس (بهعنوانمثال db) در “~/Library/Safari” در فهرست اصلی کاربر
- تغییر دایرکتوری اصلی به دایرکتوری اصلی که باعث میشود سافاری از فایلهای اصلاح شده استفاده کند.
- راهاندازی سافاری برای باز کردن یک صفحه وب که از طریق دوربین دستگاه یک عکس فوری میگیرد و مکان را میرباید.
مایکروسافت گفت که این حمله میتواند برای ذخیره کل جریان دوربین یا ضبط مخفیانه صدا از طریق میکروفون مک گسترش بیشتری یابد. مرورگرهای وب شخص ثالث از این مشکل رنج نمیبرند زیرا از حقوق خصوصی مشابه برنامههای اپل برخوردار نیستند.
مایکروسافت خاطرنشان کرد که فعالیت مشکوکی را مشاهده کرده است که مرتبط با یک تهدید تبلیغاتی شناختهشده macOS به نام [۹]AdLoad است که احتمالاً از این آسیبپذیری بهرهبرداری میکند و این امر ضروری است که کاربران اقداماتی را برای اعمال آخرین بهروزرسانیها انجام دهند.
Bar Or گفت: «ازآنجاییکه ما نتوانستیم مراحل انجامشده منجر به فعالیت را مشاهده کنیم، نمیتوانیم بهطور کامل تعیین کنیم که آیا کمپین AdLoad از آسیبپذیری HM surf خود بهرهبرداری میکند یا خیر. مهاجمانی که از روشی مشابه برای بهکارگیری یک تهدید رایج استفاده میکنند، اهمیت محافظت در برابر حملات با استفاده از این تکنیک را افزایش میدهد.»
منابع
[۱] https://support.apple.com/en-us/121238
[۲] https://www.microsoft.com/en-us/security/blog/2024/10/17/new-macos-vulnerability-hm-surf-could-lead-to-unauthorized-data-access
[۳] https://thehackernews.com/2023/05/microsoft-details-critical-apple-macos.html
[۴] https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html
[۵] https://thehackernews.com/2022/12/microsoft-details-gatekeeper-bypass.html
[۶] https://thehackernews.com/2023/05/microsoft-details-critical-apple-macos.html
[۷] https://thehackernews.com/2024/09/new-flaws-in-microsoft-macos-apps-could.html
[۸] https://ss64.com/mac/dscl.html
[۹] https://thehackernews.com/2024/05/new-cuckoo-persistent-macos-spyware.html
[۱۰] https://thehackernews.com/2024/10/microsoft-reveals-macos-vulnerability.html
ثبت ديدگاه