WWDC2022-2023 is niet het enige serieuze nieuws op de bureaus van Apple's technici vanmorgen.
Als het op de juiste manier wordt uitgebuit, kan een kwaadwillende app je MacBook, of welke huidige Mac dan ook, voor de gek houden door te denken dat jij het bent en te doen wat hij wil. Beveiligingsonderzoeker Patrick Wardle, chief research officer bij Digita Security, onthulde gisteren (2 juni) een maas in de macOS-beveiliging op een conferentie in Monaco genaamd Objective by the Sea.
Helaas heeft Apple deze fout nog niet verholpen, en Wardle heeft het bedrijf er pas vorige week over verteld. Om uzelf te beschermen, moet u zeer voorzichtig zijn met toepassingen die u rechtstreeks van internet downloadt. Het zou beter zijn om in plaats daarvan bij de officiële Mac App Store te blijven.
Geest klikken
Het probleem is volgens Wardle dat Apple een handvol legacy-applicaties (meestal oudere versies van huidige apps zoals de populaire VLC-mediaspeler) "synthetische klikken" laat gebruiken, een functie waarmee applicaties de nieuwste beveiligingsobstakels van Apple konden omzeilen door een geautoriseerde gebruiker na te bootsen wiens toestemming nodig is om bepaalde acties toe te staan.
Volgens EclecticLight.co bevat de lijst met verouderde apps die Apple op de witte lijst heeft gezet om synthetische klikken te kunnen gebruiken, oude versies van Steam, VLC, Sonos Mac Controller en Logitech Manager.
Nadat Wardle en andere onderzoekers afgelopen zomer lieten zien hoe synthetische klikken kunnen worden gebruikt om Macs aan te vallen, sloot Apple de deur voor deze functie met macOS Mojave. Maar om legacy-apps te laten blijven functioneren - Wardle had gewaarschuwd dat het volledig uitschakelen van synthetische klikken "veel legitieme applicaties zou breken" - kregen die oudere apps een vrijstelling.
"Dit is frustrerend als onderzoeker om voortdurend manieren te vinden om de bescherming van Apple te omzeilen", vertelde Wardle aan Threatpost. "Ik zou naïef zijn om te denken dat er geen andere hackers of geavanceerde tegenstanders zijn die soortgelijke gaten in de verdediging van Apple hebben gevonden."
De kamers niet controleren
Apple heeft nog een andere beveiliging. Het staat alleen applicaties op een witte lijst van Apple toe om synthetische klikken te gebruiken, of die apps nu verouderd zijn of niet. Het probleem is dat het verificatieproces zeer gebrekkig is.
MacOS verifieert de apps alleen door hun digitale handtekeningen te controleren, en niet door daadwerkelijk de code in die apps te controleren of ervoor te zorgen dat ze geen extra code laden nadat ze zijn gestart. Gisteren bewees Wardle dat zijn bezorgdheid gegrond was door een kwaadaardige plug-in in VLC te injecteren, een plug-in die synthetische klikken kon uitvoeren - valse gebruikersacties - die Apple doorgaans in apps blokkeert.
Stel je een TSA-beveiligingsagent voor die alleen je ID controleert en je bagage niet door de scanlade schuift. Dat is het probleem hier.
"De manier waarop ze dit nieuwe beveiligingsmechanisme hebben geïmplementeerd, is voor 100 procent kapot", vertelde Wardle aan Wired. "Ik kan al deze nieuwe Mojave-privacymaatregelen omzeilen."
De gebruiker voor de gek houden
Het is niet moeilijk om gebruikers voor de gek te houden om applicaties te installeren die zijn beschadigd en als wapen tegen de gebruiker zijn gebruikt. Een belangrijk voorbeeld hiervan gebeurde in het echte leven in maart 2016 met de populaire BitTorrent-client Transmission.
Een aanvaller hoeft misschien niet eens iemand voor de gek te houden. In 2016 liet Wardle zien hoe een beschadigde update van legitieme software die de gebruiker al had geïnstalleerd - in dit voorbeeld Kaspersky Internet Security voor Mac - alle beveiligingsmechanismen van Apple kon omzeilen om een Mac te infecteren.
Slordige beveiligingspraktijken
Wardle's laatste toespraak is gerapporteerd door een aantal verkooppunten, waaronder The Register.
Hoe is dit gebeurd? Wardle vertelde The Register dat "als een beveiligingsonderzoeker of iemand bij Apple met een beveiligingsmindset deze code had gecontroleerd, ze het zouden hebben opgemerkt. Zodra je deze bug ziet, is het triviaal."
"Ze controleren de code niet", voegde hij eraan toe. "Ze implementeren deze nieuwe beveiligingsfuncties, maar de realiteit is dat ze vaak verkeerd worden geïmplementeerd."
- Waarom WWDC een nieuw tijdperk inluidt voor Apple