O ex-hacker da NSA prova com que facilidade as defesa do usuário do macOS podem ser ignorados por um malware

A Apple é geralmente considerada confiável para fazer softwares seguros e protegidos. Acredita-se que a empresa trabalha muito duro para tornar o mecanismo de defesa de seu sistema operacional e dispositivos fortes o suficiente para escapar de infecções por malware e outra codificação mal-intencionada.

No entanto, dias de confiar cegamente em qualquer firma, incluindo a Apple, já não existem mais. De acordo com um ex-especialista em segurança hacker e macOS da NSA (Agência de Segurança Nacional), há uma falha perigosa no macOS que pode potencialmente inutilizar todas as defesas secundárias.

Na convenção de hackers Defcon , Patrick Wardle fez uma apresentação sobre como um invasor pode ignorar a maioria dos mecanismos de segurança implementados pela Apple para proteger o macOS. Wardle explicou que o malware pode escapar dos métodos de segurança, direcionando-os ao nível da interface do usuário (interface do usuário).

Vale a pena notar que os avisos do usuário são aquelas defesas onipresentes em um sistema operacional que é responsável por solicitar ao usuário permissão ou negação de permissão para que qualquer ação ocorra. Ele serve como um mecanismo de defesa contra cliques desonestos que podem instalar software acidentalmente ou conceder novas permissões.

Wardle claims that it is possible to exploit these user warnings by modifying the way macOS converts keyboard presses into mouse clicks. Since macOS interprets two mouse-down actions as equivalent to clicking OK, therefore, it is possible to write an extra line of codes to avoid a user warning to appear.

Em circunstâncias normais, sempre que uma atividade maliciosa é detectada por esses mecanismos de segurança, a ação é bloqueada imediatamente e um alerta / aviso é exibido. No entanto, ao abusar da interface de programação numerosa do macOS, um clique programático pode ser gerado por um código mal-intencionado para dispensar esses alertas.

Esse clique programático, que o Wardles denominou Click sintético , executa imediatamente a tarefa sem alertar o usuário. Os cliques sintéticos basicamente são códigos maliciosos que replicam o ato de clicar em um botão que concede permissões a qualquer aplicativo. Segundo relatos, a Apple agora estará bloqueando cliques sintéticos no macOS 10.13.6.

Da minha palestra @DefCon : 
o "Kext Loading Assistido pelo Usuário" da Apple é enorme PITA para aplicativos de desenvolvedores / aplicativos de terceiros ... mas os hackers podem contornar trivialmente

// 0day bypass 
// 2x em 'Allow' btn 
CGPostMouseEvent (ponto, verdadeiro, 1, abaixo); 
CGPostMouseEvent (point, true, 1, down);

… Blog em breve pic.twitter.com/PZESutEsaO

- patrick wardle (@patrickwardle) 13 de agosto de 2018

Wardle estará demonstrando uma série de ataques automatizados contra o macOS High Sierra . Ele estará provando como é fácil ignorar verificações de segurança no macOS. Essas verificações são necessárias para permitir que os aplicativos recebam permissões do usuário para executar determinadas tarefas, como acessar dados de localização ou contatos.

Durante sua apresentação na conferência em Las Vegas, Wardle afirmou que essas explorações não permitirão um acesso inicial de hackers ao dispositivo Mac, mas poderão efetivamente explorar o sandbox. Isso permitiria que qualquer aplicativo malicioso obtivesse permissões de nível mais alto.

A Apple, por outro lado, prometeu corrigir todos os problemas relativos à exploração da interface do usuário na próxima versão do sistema operacional, o macOS Mojave.

FONTE:HACKREAD