前NSA黑客披露macOS High Sierra Zero Day漏洞

Patrick Wardle是前NSA黑客，现在是Digita Security的首席研究官，他发现macOS操作系统中存在一个关键的零日漏洞，该漏洞可能允许安装在目标系统中的恶意应用程序在没有任何用户交互或同意的情况下虚拟地“点击”对象。

为了了解它的危险程度，Wardle解释说：“通过一次点击，无数的安全机制可能被完全绕过。运行不受信任的应用程序？点击允许。授权密钥链访问？点击允许。加载第三方内核扩展？点击允许。授权传出网络连接？点击允许”。
Wardle将他对用户界面（UI）的“合成”交互的研究描述为“鼠标比剑更强大”，展示了一种能够“合成点击”的攻击&8212；由软件程序而非人工生成的程序性和不可见的鼠标点击。

macOS代码本身提供了合成点击，作为残疾人以非传统方式与系统界面交互的辅助功能，但苹果已经设置了一些限制，以阻止恶意软件滥用这些编程点击。

Wardle意外发现High Sierra错误地将两个连续的合成鼠标“向下”事件解释为合法的点击，从而允许攻击者以编程方式与安全警告交互，并要求用户在“允许”或“拒绝”之间进行选择，并访问敏感数据或功能。

沃德尔说：“用户界面就是那个单点故障”。“如果你有一种综合处理这些警报的方法，你就有一种非常强大和通用的方法来绕过所有这些安全机制”。

虽然Wardle尚未公布该漏洞的技术细节，但他表示，该漏洞有可能被利用，通过虚拟点击安全提示上的“允许”来转储密钥链中的所有密码或加载恶意内核扩展，并获得对目标机器的完全控制。
沃德尔说，他在复制和粘贴代码时意外发现了这个漏洞，仅仅两行代码就足以完全破坏这种安全机制。

与之前的发现不同，沃德没有向苹果报告他的最新研究，而是选择在DefCon黑客大会上公开零日漏洞的细节。

沃德尔说：“当然，苹果等操作系统供应商敏锐地意识到了这种‘攻击’载体，因此他们努力以一种能够抵抗合成事件的方式设计用户界面。不幸的是，他们失败了”。

然而，苹果的下一个macOS版本Mojave已经通过阻止所有合成事件减轻了威胁，这最终减少了合法使用该功能的应用程序上可访问性功能的范围。