مایکروسافت هشدار می دهد که آسیب پذیری در macOS می تواند داده های کاربر را در معرض دید قرار دهد

مایکروسافت آسیب پذیری را در سیستم عامل MacOS آشکار کرده است که می تواند مهاجمان را قادر به دسترسی به داده های محافظت شده کاربر کند و در مورد احتمال بهره برداری فعال هشدار داده است.

این آسیب پذیری که «HM Surf» نامیده می شود، به مهاجمان اجازه می دهد تا فناوری شفافیت، رضایت و کنترل (TCC) سیستم عامل را برای دسترسی به داده های حساس کاربر، از جمله صفحات مرور شده، دوربین، میکروفون و مکان دستگاه، دور بزنند.

این آسیب پذیری به ،وان CVE-2024-44133 با درجه بندی شدت متوسط \u200b\u200bشناسایی شده است.

مایکروسافت یافته های خود را با اپل به اشتراک گذاشت که اصلاحی را به ،وان بخشی از به روزرس، های امنیتی برای macOS Sequoia در ۱۶ سپتامبر ۲۰۲۴ منتشر کرد.

از کاربران macOS خواسته می شود تا در اسرع وقت به روزرس، ها را اعمال کنند، زیرا مایکروسافت فعالیت های سوءاستفاده بالقوه مربوط به Adload، خانواده ب،زار غالب در macOS را کشف کرده است.

چگونه مهاجمان می توانند امنیت macOS را دور بزنند

مایکروسافت گفت که این ا،پلویت شامل حذف حفاظت TCC برای فهرست مرورگر سافاری و تغییر فایل پیکربندی در دایرکتوری است.

TCC فناوری است که از دسترسی برنامه های کاربردی به اطلاعات شخصی کاربران، از جمله خدماتی مانند سرویس های مکان، دوربین، میکروفون، فهرست دانلود و غیره، بدون رضایت و اطلاع قبلی آنها جلوگیری می کند.

بای پس TCC را می توان با استفاده از ... com.apple.private.tcc.allow حق TCC در Safari، مرورگر پیش فرض macOS. این به برنامه اجازه می دهد تا بررسی های TCC را برای سرویس های فهرست شده در این حق کاملاً دور بزند.

مرورگرهای شخص ثالثی که در macOS قابل استفاده هستند، از جمله گوگل کروم، موزیلا فایرفا، و مایکروسافت اج، از حقوق حریم خصوصی مشابه سافاری برخوردار نیستند، به این م،ی که نمی توان از آنها برای دور زدن بررسی های TCC استفاده کرد.

محققان مایکروسافت کشف ،د که Safari پیکربندی خود را در فایل های مختلف در فهرست اصلی کاربر نگه می دارد (~/کتابخانه/سافاری). این فهرست شامل چندین فایل مورد علاقه، از جمله تاریخچه مرورگر کاربر، لیست دانلودها و لیست مجوزها است.

آنها قادر به تغییر فایل های حساس در فهرست اصلی اصلی کاربر بودند (مثلاً /Users/$USER/Li،ry/Safari/PerSitePreferences.db) و دوباره فهرست اصلی را تغییر دهید تا سافاری از فایل های اصلاح شده استفاده کند.

این به آنها اجازه داد تا سافاری را راه اندازی کنند تا یک صفحه وب را باز کنند که با دوربین یک ع، فوری می گیرد و مکان دستگاه را ردیابی می کند.

در یک سناریوی واقعی، یک مهاجم می تواند از این تکنیک برای انجام فعالیت های زیر استفاده کند:

• ع، فوری را در جایی میزب، کنید تا بعداً به صورت خصوصی بارگیری شود
• کل جریان دوربین را ذخیره کنید
• میکروفون خود را ضبط کنید و آن را به سرور دیگری پخش کنید یا آن را آپلود کنید
• به مکان دستگاه دسترسی پیدا کنید
• سافاری را در یک پنجره بسیار کوچک شروع کنید تا توجه را جلب نکنید

مایکروسافت اعلام کرد که فعالیت مشکوکی را در دستگاه مشتری مشاهده کرده است که نشان می دهد Adload ممکن است از آسیب پذیری HM Surf سوء استفاده کند.

از آنجایی که ما قادر به نظارت بر اقدامات انجام شده قبل از وقوع فعالیت نبودیم، نمی تو،م تعیین کنیم که آیا کمپین Adload از همان آسیب پذیری HM Surf سوء استفاده می کرده است. مایکروسافت در پست وبلاگ در مورد حملات با استفاده از این تکنیک هشدار داد.

اعتبار تصویر: آلبرتو گارسیا گیلن / Shutterstock.com