Уязвимость macOS TCC позволяла вытащить данные юзера в обход защиты

Уязвимость macOS TCC позволяла вытащить данные юзера в обход защиты

Уязвимость macOS TCC позволяла вытащить данные юзера в обход защиты

Эксперты Microsoft раскрыли детали уязвимости, обнаруженной ими в защитном механизме macOS TCC. Проблема, уже устраненная Apple, позволяла обойти этого охранника и получить несанкционированный доступ к пользовательским данным.

Уязвимости, нареченной HM Surf, присвоен идентификатор CVE-2024-44133, Патч вышел в прошлом месяце в составе версии macOS Sequoia 15.

Защитник TCC предотвращает доступ приложений к охраняемым ресурсам без согласия пользователя. При первой попытке использования микрофона, камеры либо данных геолокации софт подвергается проверкам на полномочность, и TCC выводит юзеру диалоговое окно с запросом разрешения.

 

Программы Apple имеют больше привилегий, чем сторонние разработки, и могут вообще не проходить TCC-проверку. Тем не менее Safari при первом визите на сайт, требующий доступа к камере или геолокации, по умолчанию испрашивает согласие пользователя, а затем сохраняет его выбор в папке ~/Library/Safari.

 

Разработанная исследователями PoC-атака проводится поэтапно:

  1. Изменение домашнего каталога текущего пользователя с помощью утилиты dscl.
  2. Модификация конфигурационных файлов (хранимых преференций пользователя) в ~/Library/Safari.
  3. Откат смены домашнего каталога.
  4. Запуск Safari для открытия сайта, которому теперь разрешен доступ к камере, микрофону, геолокации.

 

Похожее подозрительное поведение было недавно замечено у рекламного зловреда AdLoad, однако эксперты не могут с уверенностью сказать, что это следствие эксплойта HM Surf.

Ранее команда Microsoft находила в десктопной ОС Apple другие способы обхода защиты — Shrootless, powerdir, Achilles, Migraine. В недавно вышедшей Sequoia тоже объявился аналогичный баг, его уже взяли на вооружение распространители нового macOS-стилера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИБ-образованию в России не хватает практики и стажировок

4 сентября, Москва. Студенты, которые учатся на специалистов по информационной безопасности, больше всего хотят получать практический опыт: доступ к реальным кейсам, лаборатории и стажировки в компаниях. К такому выводу пришли эксперты Академии InfoWatch после опроса преподавателей из более чем 30 российских вузов и колледжей.

Главная проблема, по словам опрошенных, — нехватка материально-технической базы и бюджетов на её развитие.

Чаще всего речь идёт о создании новых учебных полигонов, лабораторий и закупке дополнительного оборудования. Особенно остро эта проблема стоит в регионах, где помещений хватает, а вот современного оснащения и квалифицированных кадров — нет.

Многие учебные заведения сотрудничают с вендорами ИБ-решений: 38% преподавателей рассказали, что взаимодействие с компаниями идёт постоянно, ещё треть — что оно развивается, но пока не в полную силу. При этом почти 90% опрошенных считают такие проекты полезными.

Среди самых востребованных форм практики преподаватели назвали:

  • доступ студентов к реальным кейсам и инцидентам (22%);
  • стажировки в подразделениях ИБ и у разработчиков решений (25%);
  • работу в учебных лабораториях и на стендах (25%).

По мнению специалистов, важно, чтобы бизнес участвовал не только в практической подготовке, но и в формировании образовательных программ, а также помогал с регулярным обучением преподавателей.

«ИБ нельзя освоить только в теории — угрозы меняются вместе с технологиями и политической ситуацией. Только практика учит быстро реагировать и принимать решения», — отмечает Андрей Зарубин, вице-президент по науке и образованию ГК InfoWatch.

По его словам, компания старается насыщать учебные программы практическими кейсами, а лаборатории — эмуляторами реальных событий.

В этом году, например, впервые прошла Летняя школа для преподавателей сразу по двум направлениям: защита данных от утечек и защита ИТ-инфраструктуры от сетевых атак. В будущем планируется расширять программу и добавлять больше практических занятий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru