Основатель компании Fastlane Tools Феликс Краузе (Felix Krause) обнаружил, что практически любое приложение в системе (неважно, находится ли оно в песочнице или нет) может шпионить за пользователем, используя для этого легитимную функциональность macOS.
Краузе описал проблему в своем личном блоге и предупредил, что патча для нее пока нет, хотя эксперт уведомил инженеров Apple о своей находке еще в ноябре 2017 года. Теперь специалист решил раскрыть данные публично, а также заполнил соответственный баг-репорт.
Проблема заключается в использовании функции CGWindowListCreateImage, которая часто применяется приложениями для снятия скриншотов или захвата происходящего на экране устройства. Дело в том, что специального разрешения пользователя для этого не требуется, а вредоносное приложение может работать в фоновом режиме или находиться в песочнице, но при этом все равно иметь доступ буквально к каждому пикселю.
Исследователь поясняет, что в сочетании с оптическим распознаванием символов (Optical character recognition, OCR) злоумышленник может «читать» информацию на мониторе своей цели. Так, преступник может успешно перехватить такую информацию, как пароли и различные ключи из парольных менеджеров; получить доступ к конфиденциальным исходным кодам и ключам API; прочитать электронные письма и сообщения, которые просматривает пользователь; узнать, какими веб-сервисами и приложениями пользуется жертва, и так далее.
Краузе предлагает разработчикам Apple возможные варианты решения проблемы. К примеру, можно сделать обязательным запрос разрешения пользователя перед активацией функции CGWindowListCreateImage, а также уведомлять пользователя о том, что приложение делает снимки экрана.
