Цивилизация
Компания по кибербезопасности Jamf Protect во время исследования вредоносного ПО XCSSET, впервые обнаруженного в 2020 году, нашла новую уязвимость macOS Big Sur 11.3. Данная ошибка позволяла преступникам обойти защиту конфиденциальности macOS, а именно систему Transparency Consent and Control, сообщает портал Forbes.
Transparency Consent and Control — это система, которая уведомляет пользователей о том, что приложение может нарушить их конфиденциальность. При запуске различного ПО для его корректной работы приложениям могут потребоваться доступ к камере, микрофону или файлам, разрешение на который Transparency Consent and Control запрашивает у пользователя.
Хакеры нашли способ перехватить разрешения владельца ноутбука, чтобы запустить на нем вредоносное программное обеспечение. Как отмечают специалисты Jamf Protect, вирус XCSSET подключается к популярному сервису для конференцсвязи Zoom и ведет скрытую съемку. При этом MacBook не уведомлял пользователей о том, что происходит на их устройстве, так как Zoom уже получил данное разрешение от пользователя.
Кроме этого, хакеры могли использовать эксплойт для кражи файлов, записи звука через микрофон и получения доступа к камере устройства.
Данная уязвимость уже была устранена Apple в последнем обновлении ОС Big Sur 11.4 — теперь разрешение на доступ к важным функциям Mac будет запрашиваться каждый раз при возникновении необходимости. Однако пользователи, которые еще не обновили ОС, все еще могут стать жертвами XCSSET.
В апреле 2021 года исследователь безопасности Седрик Оуэнс и руководитель компании по кибербезопасности Jamf Protect Джарон Брэдли обнаружили еще одну уязвимость в операционной системе для компьютеров Mac, которую хакеры использовали для атак с использованием вредоносной программы Shlayer.
Вредоносное ПО могло получить полный контроль над компьютером жертвы, минуя средства защиты Apple на MacOS, такие как Gatekeeper и File Quarantine, которые призваны блокировать файлы, скачанные пользователем из интернета и не проверенные Apple на наличие вредоносного ПО.
Ошибка крылась в системе «syspolicyd», которая оценивает приложения перед их запуском. Хакер мог замаскировать вредоносную программу и заставить Gatekeeper не проверять его, когда пользователь открывает файл. Сам Shlayer распространялся посредством «отравления» поисковых систем — метода, с помощью которого хакеры быстрее распространяют свое вредоносное ПО, продвигая ссылку на веб-сайт с программой в первые строки поиска.
По словам экспертов, данная уязвимость — одна из самых опасных, так как существует несколько вариантов злоупотребления этой ошибкой. На данный момент она уже устранена путем релиза актуального патча безопасности.
