Microsoft, macOS’ta Apple’ın Şeffaflık, Rıza ve Kontrol (TCC) çerçevesindeki, kullanıcının gizlilik tercihlerini aşmak ve verilere erişim sağlamak amacıyla istismar edilmesi muhtemel olan, artık yamalanmış bir güvenlik açığıyla ilgili ayrıntıları açıkladı.
Teknoloji devi tarafından HM Surf kod adı verilen eksiklik, CVE-2024-44133 olarak takip ediliyor. Bu sorun, Apple tarafından macOS Sequoia 15’in bir parçası olarak güvenlik açığı bulunan kodun kaldırılmasıyla giderildi.
HM Surf “Safari tarayıcı dizini için TCC korumasını kaldırmayı ve kullanıcının izni olmadan göz atılan sayfalar, cihazın kamerası, mikrofonu ve konumu dahil olmak üzere kullanıcının verilerine erişim sağlamak için söz konusu dizindeki bir yapılandırma dosyasını değiştirmeyi içeriyor.” Jonathan Microsoft Tehdit İstihbaratı ekibinden Bar Or şunları söyledi.
Microsoft, yeni korumaların Apple’ın Safari tarayıcısıyla sınırlı olduğunu ve yerel yapılandırma dosyalarını güçlendirmenin faydalarını daha fazla araştırmak için diğer büyük tarayıcı satıcılarıyla birlikte çalıştığını söyledi.
HM Surf, Microsoft’un Shrootless, powerdir, Achilles ve Migraine gibi kötü niyetli aktörlerin güvenlik yaptırımlarından kaçmasına olanak tanıyan Apple macOS kusurlarını keşfetmesini takip ediyor.
TCC, uygulamaların kullanıcıların kişisel bilgilerine rızaları olmadan erişmesini engelleyen bir güvenlik çerçevesi olsa da, yeni keşfedilen hata, saldırganların bu gereksinimi atlamasına ve konum hizmetlerine, adres defterine, kameraya, mikrofona, indirilenler dizinine ve diğerlerine erişmesine olanak sağlayabilir. izinsiz bir şekilde.
Erişim, Apple’ın Safari gibi kendi uygulamalarının “com.apple.private.tcc.allow” yetkisini kullanarak TCC’yi tamamen atlatabilme yeteneğine sahip olduğu bir dizi yetkiye tabidir.
Bu, Safari’nin hassas izinlere serbestçe erişmesine izin verirken, aynı zamanda web tarayıcısı bağlamında rastgele kod çalıştırmayı zorlaştıran Sertleştirilmiş Çalışma Zamanı adı verilen yeni bir güvenlik mekanizmasını da içeriyor.
Bununla birlikte, kullanıcılar konum veya kamera erişimi isteyen bir web sitesini ilk kez ziyaret ettiğinde Safari, TCC benzeri bir açılır pencere aracılığıyla erişim talebinde bulunuyor. Bu yetkiler, “~/Library/Safari” dizininde bulunan çeşitli dosyalar içerisinde web sitesi bazında saklanır.
Microsoft tarafından tasarlanan HM Surf istismarı aşağıdaki adımların gerçekleştirilmesine bağlıdır:
- MacOS Sonoma’da TCC erişimi gerektirmeyen bir adım olan dscl yardımcı programıyla geçerli kullanıcının ana dizinini değiştirme
- Kullanıcının gerçek ana dizini altındaki “~/Library/Safari” içindeki hassas dosyaları (örn. PerSitePreferences.db) değiştirmek
- Ana dizini tekrar orijinal dizine değiştirmek, Safari’nin değiştirilen dosyaları kullanmasına neden olur
- Cihazın kamerası aracılığıyla anlık görüntü alan ve konumu yakalayan bir web sayfasını açmak için Safari’yi başlatma
Microsoft, saldırının tüm kamera akışını kaydedecek veya Mac’in mikrofonu aracılığıyla gizlice ses yakalayacak şekilde genişletilebileceğini söyledi. Üçüncü taraf web tarayıcıları, Apple uygulamalarıyla aynı özel yetkilere sahip olmadıkları için bu sorunla karşılaşmıyorlar.
Microsoft, AdLoad adlı bilinen bir macOS reklam yazılımı tehdidiyle ilişkili şüpheli etkinliğin muhtemelen bu güvenlik açığından yararlandığını gözlemlediğini ve bu durumun kullanıcıların en son güncellemeleri uygulamak için gerekli adımları atmasını zorunlu hale getirdiğini belirtti.
Bar Or, “Etkinliğe yol açan adımları gözlemleyemediğimiz için AdLoad kampanyasının HM sörf güvenlik açığından yararlanıp yararlanmadığını tam olarak belirleyemiyoruz” dedi. “Saldırganların yaygın bir tehdidi dağıtmak için benzer bir yöntem kullanması, bu tekniği kullanan saldırılara karşı koruma sağlamanın önemini artırıyor.”