macOS 再出 0day，通过合成点击即可绕过其安全功能

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Digita Security 公司的联合创始人兼首席研究馆 Patrick Wardle 披露称，黑客可使用合成点击来绕过苹果去年在 macOS 操作系统中实现的隐私和安全功能。

Wardle 发现一个漏洞，可导致黑客、恶意软件或越权应用程序本地绕过苹果在2018年世界开发者大会 (WWDC) 上宣布的一些功能。当时，苹果披露称当应用程序想要访问摄像头、麦克风、事件、通讯录、照片、备份、Safari数据、历史和邮件数据库时，或者当应用程序试图获取管理器权限或远程控制进程时，macOS Mojava 将向用户发出警告。

上周末，就在苹果准备举办 2019年 WWDC 大会时，Warlde 在自家公司举办的 Mac 安全会议 Objective by the Sea 上披露称，macOS 中存在一个“微小的代码签名问题”，可导致任何可信应用程序被用于生成合成点击，在正常情况下它本应当被阻止。Wardle 表示，鉴于用户可能会在屏幕上看到动作触发，虽然这种攻击可能会引发怀疑，但攻击在屏幕变暗（即屏幕展示将要休眠时）时会触发该利用。

值得注意的是，它是第二阶段的攻击。虽然该攻击要求在执行利用前具有访问目标 Mac 的权限，但 Wardle 表示执行此类攻击无需特别权限。

该攻击涉及透明度同意和控制 (TCC) 系统，负责维护数据库的隐私控制设置，包括每款应用程序能够访问的组件。该系统还包含一个兼容性数据库，存储在名为 AllowApplicationsList.plist 的文件中，作为向具有特定签名的特定版本应用受保护函数访问权限的规则白名单。攻击者能够从该白名单中选择依靠应用并进行恶意修改，之后执行以产生合成点击。由于代码验证检查中存在一个微小缺陷，因此苹果无法检测出对目标应用的修改。

Wardle 解释称，攻击者只需下载被修改的目标应用版本并运行它即可，“基本上，系统总是会允许白名单应用的合成点击，它不在乎应用是由用户安装的还是恶意软件下载并运行以生成点击的。”例如，攻击者能够针对 VLC 媒体播放器发动攻击，只需添加一个恶意插件就能生成合成点击。

Wardle 在 macOS 中发现了可导致合成点击的多个漏洞问题，包括去年在 DefCon 会议上披露的一个合成点击问题。苹果已经开始着手修复，但 Wardle 表示，补丁通常是不完整的，而且他认为“苹果在阻止合成点击攻击方面很费劲。”

Wardle 表示已经在大概一周前向苹果披露了自己的研究成果，后者证实已收到漏洞报告，不过目前尚不清楚苹果公司将采取何种应对措施。

苹果公司目前尚未置评。

原文链接

https://www.securityweek.com/hackers-can-bypass-macos-security-features-synthetic-clicks

题图：Pixabay License

文内图：Securityweek

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。