Na conferência de segurança Black Hat desta semana nos EUA, os pesquisadores Wojciech Ragula da SecureRing e Csaba Fitzl da Offensive Security mostraram que os aplicativos macOS podem substituir as permissões concedidas pelo sistema operacional ou pelo usuário. Explorar múltiplas vulnerabilidades e explorar erros de configuração permitiu que eles contornassem a proteção de privacidade do Transparency Consent and Control (TCC) da Apple.
Imagem: SoftPedia
A capacidade de contornar as permissões de segurança permite que os invasores obtenham acesso aos arquivos do sistema, capturem imagens e roubem informações confidenciais do usuário. Observe que as vulnerabilidades identificadas não podem ser exploradas remotamente. No entanto, eles podem ser usados por invasores para contornar a proteção de privacidade de dados do sistema. Para fazer isso, você precisa convencer a vítima a executar código malicioso, por exemplo, usando técnicas de engenharia social.
Esta não é a primeira vez que a plataforma de software macOS enfrenta problemas semelhantes. Em maio deste ano, a Apple corrigiu três vulnerabilidades no tvOS e macOS, cuja exploração permitiu que os invasores tirassem screenshots e coletassem cookies do navegador Safari usando malware XCSSET. A boa notícia é que o sistema TCC ainda é forte o suficiente para evitar a criptografia de arquivos de sistema durante ataques de ransomware, uma vez que os arquivos protegidos por privacidade não podem ser lidos ou gravados. O recurso System Integrity Protection no coração do TCC restringe o acesso do usuário a pastas diferentes, mesmo se eles tiverem direitos de administrador.
Dave Plummer, desenvolvedor veterano da Microsoft e criador de vários componentes essenciais do Windows, incluindo…
Um ex-desenvolvedor da Sony apresentou um protótipo do console PlayStation Puga, que nunca chegou ao…
A fábrica da Tesla em Xangai é única não apenas por ter sido construída em…
Os desenvolvedores de robôs humanoides estão ansiosos para demonstrar progressos significativos em seu desenvolvimento, mas,…
A recente decisão da Sony de interromper o lançamento de jogos para seus consoles em…
Em junho, as autoridades reguladoras indianas já haviam bloqueado temporariamente o Telegram, alegando a necessidade…