Специалисты Microsoft рассказали о том, что недавно исправленная уязвимость CVE-2024-44133 в macOS может использоваться в атаках рекламного ПО.
Эта проблема позволяет обойти технологию Transparency, Consent, and Control (TCC) и получить доступ к пользовательским данным. Apple устранила баг в macOS Sequoia 15 в середине сентября текущего года. Тогда в компании отмечали, что проблема затрагивает только устройства с MDM-управлением.
По информации Microsoft, специалисты которой и обнаружили баг, эксплуатация этой уязвимости «предполагает снятие защиты TCC для директории браузера Safari и модификацию конфигурационного файла в этом каталоге для получения доступа к данным пользователя без его согласия, включая просмотренные страницы, камеру, микрофон и местоположение устройства».
Специалисты отметили, что баг затрагивал только Safari, поскольку сторонние браузеры не имеют таких прав доступа к личным пользовательским данным, и не могут обойти проверки защиты.
Так, TCC не позволяет приложениям получать доступ к личной информации без согласия и ведома пользователя, однако некоторые приложения Apple, включая Safari, имеют специальные привилегии (private entitlement), которые позволяют им обходить TCC. В итоге браузер имеет право доступа к адресной книге, камере, микрофону и другим функциям, а Apple реализовала hardened runtime, чтобы гарантировать загрузку только подписанных библиотек и избежать выполнения произвольного кода в контексте браузера.
«По умолчанию при просмотре сайтов, требующих доступа к камере или микрофону, все равно появляется всплывающее окно, подобное TCC, то есть Safari придерживается собственной политики TCC. Это имеет смысл, поскольку Safari должен вести записи о доступе на основе каждого источника (сайта)», — отмечает Microsoft.
Также конфигурация Safari хранится в различных файлах в домашнем каталоге текущего пользователя, который защищен TCC для предотвращения вредоносных модификаций.
Однако исследователи пишут, что изменив домашний каталог с помощью утилиты dscl (которая не требует прав TCC в macOS Sonoma), модифицировав файлы Safari и вернув домашний каталог в исходное состояние, можно вынудить браузер использовать измененные файлы и загрузить страницу, которая делает снимок через камеру и фиксируется местоположение устройства без предупреждения.
Эксперты объясняют, что потенциальный злоумышленник мог использовать этот баг, получивший название HM Surf, для создания снапшотов, сохранения видео с камеры, записи микрофона, стриминга аудио, а также для получения доступа к местоположению устройства. При этом уклониться от обнаружения было возможно, попросту запустив Safari в очень маленьком окне.
В Microsoft сообщают, что уже наблюдали вредоносную активность, связанную с этой уязвимостью. Малварь Adload (семейство рекламного ПО, то есть adware для macOS) позволяла злоумышленникам загружать и устанавливать дополнительные полезные нагрузки, пытаясь эксплуатировать CVE-2024-44133 для обхода TCC.
