前NSA黑客、现任安全公司Digita Security研究长Patrick Wardle发现 macOS High Sierra有一去年发现可让黑客执行合成点击攻击的漏洞,现在又再次出现。
Wardle上周在Def Con黑客大会上公布这项研究。合成点击原本是macOS中提供无法按鼠标的身障人士的一项功能,利用程序达到点击效果。为防止滥用,macOS加入“User-Approved Kext”的安全功能,要求用户必须在系统跳出的安全对话框中,以鼠标点击“允许”键才能放行,以防有人利用合成点击访问敏感数据或加载恶意程序。
不过Wardle指出mac OS High Sierra有个能放行合成点击的漏洞CVE-2017-7150。在macOS中,鼠标点击按(down)与放(up)被视为二个动作。他偶然发现,如果在up之前以程序代码制造连续二个down,就会被High Sierra误认为是合法的手动点击,等于是制造“虚拟”或隐形点击行为,仿真点击“OK”、“允许”等动作。
他指出,结合合成点击和该漏洞的结果非常危险,能轻松绕过苹果的User-Approved Kext及第三方安全工具,执行不可信赖的app、泄露keychain所有密码、安装系统核心扩展程序、授权对外网络连接,所有行为通通都可以,全部都不需要用户点鼠标。
事实上,Wardle去年就曾披露过这个的漏洞,苹果也曾经修补过。但他指出,这显示苹果的修补完全没有用,只要执行零时差攻击,即让未获授权的程序代码执行合成事件。
Wardle自己都颇为惊讶,因为只要简单二行程序代码就能完全瓦解这个安全机制,Apple Insider引述因为太简单了,他都不好意思说出来,“虽然我替苹果更感到不好意思”。
不过他表示,这项漏洞仅影响High Sierra。不会影响之前mac OS版本,而下一版的10.14 Mojave也已经完全封锁合成事件。