Na conferência de segurança Black Hat desta semana nos EUA, os pesquisadores Wojciech Ragula da SecureRing e Csaba Fitzl da Offensive Security mostraram que os aplicativos macOS podem substituir as permissões concedidas pelo sistema operacional ou pelo usuário. Explorar múltiplas vulnerabilidades e explorar erros de configuração permitiu que eles contornassem a proteção de privacidade do Transparency Consent and Control (TCC) da Apple.

Imagem: SoftPedia

A capacidade de contornar as permissões de segurança permite que os invasores obtenham acesso aos arquivos do sistema, capturem imagens e roubem informações confidenciais do usuário. Observe que as vulnerabilidades identificadas não podem ser exploradas remotamente. No entanto, eles podem ser usados ​​por invasores para contornar a proteção de privacidade de dados do sistema. Para fazer isso, você precisa convencer a vítima a executar código malicioso, por exemplo, usando técnicas de engenharia social.

Esta não é a primeira vez que a plataforma de software macOS enfrenta problemas semelhantes. Em maio deste ano, a Apple corrigiu três vulnerabilidades no tvOS e macOS, cuja exploração permitiu que os invasores tirassem screenshots e coletassem cookies do navegador Safari usando malware XCSSET. A boa notícia é que o sistema TCC ainda é forte o suficiente para evitar a criptografia de arquivos de sistema durante ataques de ransomware, uma vez que os arquivos protegidos por privacidade não podem ser lidos ou gravados. O recurso System Integrity Protection no coração do TCC restringe o acesso do usuário a pastas diferentes, mesmo se eles tiverem direitos de administrador.

avalanche

Postagens recentes

Um ex-engenheiro da Microsoft conseguiu fazer um motor Stirling funcionar usando o calor de um processador AMD Threadripper.

Dave Plummer, desenvolvedor veterano da Microsoft e criador de vários componentes essenciais do Windows, incluindo…

17 minutos atrás

A Sony estava desenvolvendo um controle DualShock com o primeiro PlayStation integrado, mas o projeto foi cancelado.

Um ex-desenvolvedor da Sony apresentou um protótipo do console PlayStation Puga, que nunca chegou ao…

3 horas atrás

Os robôs ainda têm muito espaço para melhorar antes de se tornarem vizinhos seguros para os humanos.

Os desenvolvedores de robôs humanoides estão ansiosos para demonstrar progressos significativos em seu desenvolvimento, mas,…

8 horas atrás

A decisão da Sony de parar de lançar jogos em disco irá remodelar permanentemente o mercado de jogos.

A recente decisão da Sony de interromper o lançamento de jogos para seus consoles em…

9 horas atrás

As autoridades indianas exigiram que o Telegram tome medidas decisivas em 15 dias para combater a disseminação de conteúdo pirateado.

Em junho, as autoridades reguladoras indianas já haviam bloqueado temporariamente o Telegram, alegando a necessidade…

10 horas atrás