MacOS’ta, saldırganların Şeffaflık, Rıza ve Kontrol (TCC) korumalarını tamamen atlamasına olanak tanıyan kritik bir güvenlik açığı keşfedildi.
Apple’ın hassas kullanıcı verilerine yetkisiz erişimi engellemeye yönelik birincil savunma mekanizması mikrofon, kamera ve belgelerin kullanılmasıdır.
CVE-2025-43530 olarak takip edilen güvenlik açığı, com.tr aracılığıyla VoiceOver ekran okuyucu çerçevesindeki bir kusurdan yararlanıyor. Elma. Scrid servisi.
Apple’ın görme engelli kullanıcılara yönelik yerleşik erişilebilirlik aracı VoiceOver, kullanıcı verilerine geniş erişim sağlayan özel sistem izinleriyle çalışır.
Saldırganlar, rastgele AppleScript komutlarını yürütmek ve Finder dahil herhangi bir uygulamaya AppleEvents göndermek için bu hizmetten yararlanabilir ve böylece TCC güvenlik kontrollerini atlatabilir.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-43530 |
| Güvenlik Açığı Türü | Özel API Kullanımı yoluyla TCC Atlaması |
| Etkilenen Bileşen | ScreenReader.framework (VoiceOver), com.apple.scrod ME Hizmeti |
| Saldırı Vektörü | Yerel – Dinamik Kütüphane (Dylib) Enjeksiyonu veya TOCTOU Saldırısı |
| Darbe | Tam TCC bypass’ı, isteğe bağlı AppleScript yürütmesi, hassas kullanıcı verilerine erişim |
Saldırı Nasıl Çalışır?
Güvenlik açığı iki farklı yöntemde mevcuttur. Birincisi, saldırganlar Apple imzalı sistem ikili dosyalarına kötü amaçlı kod enjekte edebilir; bu, hiçbir yönetim ayrıcalığı gerektirmeyen bir işlemdir.
Doğrulama mantığı, Apple tarafından imzalanan herhangi bir koda yanlışlıkla güvenir ve meşru sistem işlemleri ile güvenliği ihlal edilmiş olanlar arasında ayrım yapamaz.
İkincisi, Kontrol Zamanı Kullanım Süresi (TOCTOU) saldırısı, saldırganların uygulamayı güvenlik doğrulaması ile yürütme arasında manipüle ederek doğrulama kontrollerini atlamasına olanak tanır.
Bu zayıflıklar bir araya getirildiğinde, TCC’den kaçınmayı tamamlamak için basit bir yol oluşturur. Saldırganlar bu güvenlik açığından yararlanıldıktan sonra hassas belgeleri okuyabilir, mikrofona erişebilir, Finder ile etkileşime girebilir ve kullanıcının bildirimi veya izni olmadan isteğe bağlı AppleScript kodu çalıştırabilir.
Bu, macOS TCC korumalarını etkilenen sistemler için etkili bir şekilde işe yaramaz hale getirir. Apple, daha sağlam bir yetkilendirme tabanlı doğrulama sistemi uygulayarak macOS 26.2’deki bu güvenlik açığını giderdi.
Düzeltme eki artık süreçlerin belirli “com.apple.private.accessibility.scrod” yetkisine sahip olmasını gerektiriyor ve bu yetkiyi, dosya tabanlı doğrulama kullanmak yerine doğrudan müşterinin denetim belirteci aracılığıyla doğruluyor.
Bu yaklaşım hem enjeksiyon zafiyetini hem de TOCTOU penceresini ortadan kaldırır. Bu kritik TCC atlama güvenlik açığına karşı korunmak için tüm macOS kullanıcılarının derhal macOS 26.2 veya sonraki bir sürüme güncelleme yapması gerekir.
GitHub’da yayınlanan jhftss raporlarına göre, konseptin çalışan bir kanıtı halka açık durumda ve bu da aktif istismarın muhtemel olduğunu gösteriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
