in

Los investigadores encuentran debilidades significativas en …



Los ataques requieren código para ejecutarse en un sistema, pero frustran el enfoque de Apple para proteger los datos privados y los archivos del sistema.

BLACK HAT USA 2021: las aplicaciones que se pueden ejecutar en el sistema operativo de Apple, macOS, pueden exceder los permisos otorgados por el usuario y el sistema operativo y permitir una variedad de ataques a la privacidad, como: y acceso a los archivos del sistema, dijeron dos investigadores en una sesión informativa de Black Hat USA el 4 de agosto.

Los investigadores, Csaba Fitzl de Offensive Security y Wojciech Regula de SecuRing, encontraron más que una serie de vulnerabilidades y configuraciones inseguras que permitieron al dúo eludir el mecanismo central para proteger los datos del usuario: el marco de protección de datos de Apple, Transparencia, Consentimiento y Control (TCC). ). . Los investigadores utilizaron, entre otras cosas, complementos maliciosos e inyecciones de procesos en aplicaciones de terceros para atacar el demonio TCC y otorgar permisos completos al sistema de ataque de prueba de concepto.

Los dos investigadores informaron los problemas a Apple y muchos de ellos se han solucionado. Sin embargo, las debilidades de seguridad no son solo un problema de Apple, también son problemas que los proveedores de software de terceros tienen que solucionar, dijo Fitzl de Offensive Security durante la presentación en Black Hat USA.

«Hay demasiados binarios de Apple con excepciones para acceder a datos privados, lo que abre la plataforma al abuso», dijo. «Muchas, muchas aplicaciones de terceros son vulnerables a los ataques de inyección, por lo que si esas aplicaciones tienen acceso a recursos privados, esos recursos son vulnerables».

Aunque las vulnerabilidades en sí mismas no se pueden explotar de forma remota, los atacantes han utilizado problemas similares para eludir la protección del sistema para datos confidenciales. Al convencer al usuario de que ejecute código en su sistema, las vulnerabilidades pueden explotarse para eludir gran parte de la seguridad de datos integrada en macOS, iOS y tvOS de Apple.

En mayo, Apple solucionó problemas en macOS y tvOS que estaban siendo explotados en la naturaleza, lo que permitió que un programa de malware conocido como XCSSET tomara capturas de pantalla y recuperara las cookies del navegador Safari sin requerir el permiso del usuario. Eludir los permisos de protección de datos en los sistemas operativos de Apple se está volviendo cada vez más popular, ya que la solicitud de permiso típica al usuario a través de un cuadro de diálogo a menudo lo alerta sobre el malware que se ejecuta en el sistema.

Sin embargo, omitir TCC no es una llave maestra del sistema. El ransomware, por ejemplo, no puede cifrar los archivos del sistema después de una omisión de TCC; el atacante tiene que hacer más, dijo Regula de SecuRing.

“El ransomware no puede cifrar archivos protegidos por protección de datos porque no solo son de solo lectura, sino también de solo lectura”, dijo.

La seguridad para macOS se basa en el marco de protección de integridad del sistema (SIP), que restringe el acceso a muchos de los directorios, incluso a un usuario con derechos de root. TCC se basa en SIP y proporciona el mecanismo para evitar que se acceda a los datos privados. Los usuarios interactúan con el TCC cuando usan los controles de privacidad que se encuentran en la pestaña Seguridad y Privacidad del panel de control de Preferencias del Sistema, o cuando aparece un cuadro de diálogo de permisos porque una aplicación desea acceder a datos privados o una función privada como la cámara.

«TCC restringe el acceso a ciertos datos para que, por ejemplo, una aplicación maliciosa no pueda acceder a su escritorio o libreta de direcciones», dijo Regula durante la presentación.

Los investigadores descubrieron una variedad de formas de acceder a cualquier aplicación o función que pudiera realizar cambios en el TCC y, a través de ese método, realizar sus propios cambios maliciosos en los permisos.

En una cadena de ataques, los investigadores utilizaron un complemento malicioso para la utilidad de directorio macOS que rastrea la información del directorio de inicio del usuario, NFSHomeDirectory, para inyectar código en el proceso y actualizar la base de datos TCC con permisos falsificados. En otra cadena de ataques, los investigadores encontraron una variedad de sistemas vulnerables y aplicaciones de terceros con permisos para modificar la base de datos de TCC y utilizaron inyección de procesos para modificar permisos y permisos.

Periodista de tecnología experimentado con más de 20 años de experiencia. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT’s Technology Review, Popular Science y Wired News. Cinco premios de periodismo, incluida la mejor fecha límite … Ver biografía completa

Literatura recomendada:

Más información



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Un nuevo enfoque para proteger los sistemas de autenticación …

Los respondedores de incidentes investigan los ataques de Microsoft 365 …