macOS 0-Day漏洞允许黑客通过人工点击绕过安全功能

去年6月，苹果在MacOS中引入了一项核心安全功能，要求所有应用程序在访问系统上的敏感数据或组件（包括设备摄像头或麦克风、位置数据、消息和浏览历史记录）之前，必须获得用户的许可（“允许”或“拒绝”）。
对于那些不知情的人来说，“合成点击”是程序化的、不可见的鼠标点击，它们是由软件程序而非人工生成的。

MacOS本身有内置的合成点击功能，但作为残疾人以非传统方式与系统界面交互的无障碍功能。


因此，该功能仅适用于苹果批准的应用程序，防止恶意应用程序滥用这些程序性点击。

然而，当时的安全研究人员帕特里克·沃德尔（Patrick Wardle）在macOS中发现了一个关键缺陷，该缺陷可能允许安装在目标系统上的恶意应用程序在没有任何用户交互或实际同意的情况下虚拟地“点击”安全提示按钮。

虽然苹果在公开披露几周后就解决了这个问题，但沃德再次公开展示了一种新的解决方法，可以让应用程序执行合成咔哒声在没有用户明确许可的情况下访问用户的私人数据。



沃德尔告诉《黑客新闻》，在莫哈韦，macOS检查白名单应用程序完整性的方式存在验证缺陷。操作系统会检查应用的数字证书是否存在，但无法验证应用是否被篡改。

 

“系统试图在这些被允许的白名单应用程序上验证/验证未被破坏，但它们的检查存在缺陷，这意味着攻击者可以破坏其中任何一个，并添加/注入代码以执行任意合成点击，例如，与莫哈韦的安全/隐私警报交互以访问用户位置、麦克风、网络摄像头，照片，短信/通话记录，”沃德告诉黑客新闻。

 

此外，“这些[白名单]应用程序不必出现在系统上。攻击者可以将其中一个白名单应用程序带到系统（可能是预颠覆的）并在后台运行，以生成点击”。

瓦尔德在蒙特卡洛举行的Objective By the Sea大会上展示了零天漏洞，他滥用苹果公司批准的应用程序之一VLC Player，将其恶意软件作为未签名插件，并以编程方式在同意提示上执行合成点击，而实际上不需要任何用户交互。

Wardle将新的合成点击漏洞称为“第二阶段攻击”，这意味着攻击者需要远程访问受害者的macOS计算机，或者安装了恶意应用程序。沃德尔上周向苹果公司报告了他的调查结果，苹果公司确认收到了他的报告，但不清楚该公司计划何时解决这个问题。