前NSA黑客、現任安全公司Digita Security研究長Patrick Wardle發現 macOS High Sierra有一去年發現可讓黑客執行合成點擊攻擊的漏洞,現在又再次出現。
Wardle上週在Def Con黑客大會上公佈這項研究。合成點擊原本是macOS中提供無法按鼠標的身障人士的一項功能,利用程序達到點擊效果。為防止濫用,macOS加入“User-Approved Kext”的安全功能,要求用戶必須在系統跳出的安全對話框中,以鼠標點擊“允許”鍵才能放行,以防有人利用合成點擊訪問敏感數據或加載惡意程序。
不過Wardle指出mac OS High Sierra有個能放行合成點擊的漏洞CVE-2017-7150。在macOS中,鼠標點擊按(down)與放(up)被視為二個動作。他偶然發現,如果在up之前以程序代碼製造連續二個down,就會被High Sierra誤認為是合法的手動點擊,等於是製造“虛擬”或隱形點擊行為,仿真點擊“OK”、“允許”等動作。
他指出,結合合成點擊和該漏洞的結果非常危險,能輕鬆繞過蘋果的User-Approved Kext及第三方安全工具,執行不可信賴的app、洩露keychain所有密碼、安裝系統核心擴展程序、授權對外網絡連接,所有行為通通都可以,全部都不需要用戶點鼠標。
事實上,Wardle去年就曾披露過這個的漏洞,蘋果也曾經修補過。但他指出,這顯示蘋果的修補完全沒有用,只要執行零時差攻擊,即讓未獲授權的程序代碼執行合成事件。
Wardle自己都頗為驚訝,因為只要簡單二行程序代碼就能完全瓦解這個安全機制,Apple Insider引述因為太簡單了,他都不好意思說出來,“雖然我替蘋果更感到不好意思”。
不過他表示,這項漏洞僅影響High Sierra。不會影響之前mac OS版本,而下一版的10.14 Mojave也已經完全封鎖合成事件。
閱讀更多 十輪網 的文章
