I ricercatori hanno descritto in dettaglio una vulnerabilità appena risolta in macOS che, se sfruttata correttamente, potrebbe consentire agli aggressori di raccogliere dati sensibili dagli utenti registrando chat private o catturando immagini sui loro telefoni.
Il bug (battezzato CVE-2021-30970) è nell’architettura Transparency, Consent, and Control (TCC) di Apple, che è stata lanciata nel 2012 e consente agli utenti di specificare le impostazioni sulla privacy delle app mobili, concedendo in particolare alle applicazioni l’autorizzazione ad accedere ai controlli come la loro fotocamera, microfono o dati sulla posizione. Gli attacchi Proof-of-concept (PoC) sono stati identificati dal Microsoft 365 Defender Research Team, consentendo loro di aggirare le difese della tecnologia TCC.
Secondo i ricercatori Microsoft, il difetto consente agli aggressori di modificare a livello di codice la home directory di un obiettivo e installare un database TCC falso, che conserva la cronologia delle richieste di consenso delle app.
Secondo un’indagine di Microsoft, “con queste premesse, se un attore malintenzionato acquisisce l’accesso completo al disco ai database TCC, potrebbe alterarlo per assegnare diritti arbitrari a qualsiasi programma desideri, anche alla propria app dannosa”. “Inoltre, all’utente interessato non verrà chiesto di concedere o rifiutare i diritti specificati, consentendo all’app di funzionare con impostazioni di cui potrebbe non essere a conoscenza o a cui non si acconsente”.
La vulnerabilità è stata risolta negli aggiornamenti di sicurezza di Apple del 13 dicembre per macOS Monterey 12.1. La vulnerabilità è classificata solo come di gravità media poiché un attacco completo richiederebbe agli aggressori di dirottare un’app già installata sul dispositivo della vittima o persuaderli a installare la propria app dannosa.
La debolezza consentirebbe agli aggressori di superare i controlli del TCC al fine di ottenere diritti riservati per la propria app, incluso l’accesso al microfono per registrare conversazioni private, se l’app controllata dall’attaccante viene caricata.
I ricercatori hanno creato e pubblicato due attacchi proof-of-concept dopo aver scoperto che i programmi con la politica TCC kTCCServiceSystemPolicySysAdminFiles hanno il potenziale in grado di modificare segretamente la home directory. Nell’attacco PoC iniziale, pubblicato a luglio, i ricercatori hanno eluso la limitazione della politica TCC con le utilità dsexport e dsimport, esportando la voce dei servizi di directory di un utente, modificando il file di output e importando nuovamente il file.
Tuttavia, con il rilascio di MacOS Monterey in ottobre, i ricercatori hanno scoperto che il loro hack PoC iniziale non funzionava più a causa dei cambiamenti nel modo in cui opera dsimport. Hanno quindi costruito una seconda vulnerabilità PoC che ha sfruttato un daemon di installazione del sistema Apple chiamato configd, che è responsabile della configurazione del sistema locale. I ricercatori sono stati in grado di inserire e caricare codice completamente non firmato in Configd perché mancava un’impostazione di runtime protetta per il caricamento di agenti di configurazione personalizzati. Poiché configd è un programma firmato da Apple (con il valore kTCCServiceSystemPolicySysAdminFiles), ha la capacità di modificare segretamente la home directory.