Digita Security研究长暨Objective-See创办人Patrick Wardle本周揭露了一个藏匿在苹果最新操作系统macOS 10.14(Mojave)的零时差漏洞,将允许恶意程序绕过macOS的安全机制,得以让黑客存取Mac设备上的资料、摄影机或麦克风。
苹果在去年发表的macOS Mojave内建一个安全机制,举凡企图存取摄影机、麦克风、照片、浏览器历史记录或电子邮件的程序,都必须利用对话框来取得使用者的明确同意,而为了避免程序伪造对话框上的点击,苹果也禁用了合成点击(synthetic clicks)功能。
但为了让旧有的程序也能相容于Mojave,该操作系统设有一个白名单,且允许名单内的程序执行合成点击。不过,Wardle却发现白名单中的安全机制只检查程序可执行档的加密签章,并未审核程序执行时所载入的插件或脚本程序。
于是,Wardle选择了被苹果列为白名单中的VLC影音播放程序,利用一个支持VLC的恶意插件程序来执行伪造的合成点击,等于是允许他直接取得可存取摄影机、麦克风或浏览器历史记录的权限。
Wardle为知名的macOS安全专家,他在上周将漏洞消息提交给苹果,但本周就公布了漏洞细节。他说,这是因为过去他已向苹果提出很多次的合成点击漏洞,但类似的漏洞却不断地出现,显示苹果的安全稽核非常地松散。
此外,他也抱怨苹果在收到漏洞通知之后,虽然会修补,却总是修补不完全,此事一来让安全研究人员感到很挫败,二来这也让得知漏洞细节的黑客有机可趁,陷苹果用户于安全风险中。
苹果显然还来不及修补这个由Wardle所提出的零时差漏洞,但它属于第二阶段的攻击漏洞,因为企图开采此一漏洞的黑客必须先取得Mac电脑的本地端权限才行。