Eelmise aasta augustis rääkisime siin saidil macOS High Sierra turvaaukudest, mis võimaldavad kõnede kaudu kaugrünnakuid teha klõpsake sünteetilist see tähendab toiminguid, mis on analoogsed klikkidega, kuid teostavad salaja tarkvara abil. Kommenteerisime hiljuti, et MacOS Mojave (ja uuemad versioonid) kõrvaldavad selle probleemi, keelates lihtsalt sünteetilised klõpsud üks kord ja kõik. Nüüd aga teame, et see pole tõsi.
Teadlane Patrick Wardle Sama isik, kes avastas haavatavuse mullu augustis, paljastas hiljuti, et MacOS Mojave'il on endiselt probleeme sünteetiliste klõpsudega, ehkki see blokeerib toimingu. Leiud paljastas ta Monacos toimunud konverentsil Objective By the Sea.
Selgitatud: vaikimisi blokeerib Mojave sünteetilise klikkimise mis tahes kujul, kuid takistused pole laialt levinud. Mõni pikema aluspõhjaga rakendus sõltub aga näite käitamise funktsioonist o VLC, mis nõuab põhitoimingute genereerimiseks ja pistikprogrammide aktiveerimiseks sünteetilisi klikke. Selle rakenduse kasutamiseks MacOS-i uuemas versioonis lubab Apple neil jätkata klõpsamist, kui neil on kehtiv digitaalse turbe sertifikaat.
Siin on probleem: Wardle'i sõnul on macOS Mojave'il rakenduste digitaalsete sertifikaatide kontrollimise nõrkus. Selle sertifikaadi eesmärk on tõrketeate väljastamine, kui rakendusele on seatud ohtu või tehakse pahatahtlik toiming, nii et süsteem blokeerib sellistel aegadel viivitamatult selle toimimise. Kuid Mojave kontrollib ainult selliste rakenduste olemasolu antud rakenduses, kontrollimata, kas need on "puhtad".
Sellega saavad rikutud rakendused juurdepääsu tundlikele Maci komponentidele, näiteks mikrofonidele, kaameratele, sõnumitele, asukohtadele või isegi sügavamatele elementidele, näiteks terminalidele ja tuuma mootorist. Need võimaldavad teil installida ka muud potentsiaalselt ohtlikku tarkvara või isegi juurdepääsu süsteemi võtmetele.
Wardle rääkis Apple'ile haavatavusest enne selle maailmale avalikustamist, kuid Ma juhtumit ei kommenteerinud; Eeldatakse, et ettevõtte insenerid töötavad lahenduse nimel väsimatult, kuna rike on väga tõsine. Ootame selle juhtumi kohta uudiseid.
läbi TechCrunchi
