- ה-TCC היא טכנולוגיית אבטחה המאפשרת למשתמשי אפל לשלוט בהגדרות הפרטיות של האפליקציות המותקנות במערכות שלהם ובמכשירים המחוברים למכשירים שלהם.
- משתמשי אפל עם TCC החדש יאפשרו גישה מלאה לדיסק לאפליקציות עם תכונות הגדרה כדי למנוע אוטומטית ביצוע קוד לא מורשה.
- לבסוף הצליחה אפל לתקן את הפגיעות בעדכוני אבטחה שפורסמו בסוף השנה שעברה בדצמבר.
מיקרוסופט מזהירה שהפגיעות של macOS עשויה לשמש כדי לעקוף את טכנולוגיית השקיפות, ההסכמה והבקרה (TCC) של החברה.
צוות המחקר של Microsoft 365 Defender דיווח על פגיעות ב-MacBook Pro דגם T5 של אפל לאפל באמצעות Microsoft Security Vulnerability Research (MSVR) ב-15 ביולי 2021.
TCC היא טכנולוגיית אבטחה שנועדה לאפשר למשתמשי אפל לשלוט בהגדרות הפרטיות של אפליקציות המותקנות במערכות שלהם ובמכשירים המחוברים למחשבי ה-Mac שלהם, כולל מצלמות ו מיקרופונים.
אפל הבטיחה למשתמשים שה-TCC החדש שלה יאפשר רק גישה מלאה לדיסק לאפליקציות עם תכונות הגדרה לחסימה אוטומטית של ביצוע קוד לא מורשה.
פרצות
חוקרי מיקרוסופט גילו כי פושעי סייבר יכולים להערים על משתמש ללחוץ על קישור זדוני כדי לקבל גישה למידע אישי המאוחסן במסד נתונים של TCC.
"גילינו שאפשר לשנות באופן פרוגרמטי את ספריית הבית של משתמש יעד ולשתול TCC מזויף מסד נתונים, המאחסן את היסטוריית ההסכמה של בקשות לאפליקציה", לפי חוקר אבטחה ראשי במיקרוסופט, יונתן בר.
"אם היא מנוצלת במערכות לא מתוקנות, פגיעות זו עלולה לאפשר לשחקן זדוני לתזמן התקפה על סמך הנתונים האישיים המוגנים של המשתמש.
"לדוגמה, התוקף יכול לחטוף אפליקציה המותקנת במכשיר או להתקין אפליקציה זדונית משלו ולגשת ל- מיקרופון להקלטת שיחות פרטיות או צילומי מסך של מידע רגיש המוצג על של המשתמש מָסָך."
דיווח על עקיפי TCC
אפל תיקנה גם מעקפי TCC אחרים שדווחו מאז 2020, כולל:
- הרעלת משתנה סביבתי
- Time Machine תושבות
- סוגיית סיכום הצרור
חוץ מזה, אפל תיקנה את הפגיעות בעדכוני אבטחה שפורסמו בחודש שעבר, ב-13 בדצמבר 2021. "אפליקציה זדונית עשויה לעקוף את העדפות הפרטיות," לפי ייעוץ האבטחה.
אפל התמודדה עם הפגם ההגיוני מאחורי באג ליקוי האבטחה powerdir על ידי פיתוח ניהול מצב טוב יותר.
"במהלך המחקר הזה, היינו צריכים לעדכן את ניצול ההוכחה של המושג (POC) שלנו מכיוון שהגרסה הראשונית כבר לא עבדה על גרסת ה-macOS העדכנית ביותר, מונטריי", ציין ג'ונתן.
"זה מראה שגם כאשר macOS או מערכות הפעלה ויישומים אחרים הופכים קשים יותר עם כל מהדורה, ספקי תוכנה כמו אפל, אבטחה חוקרים, וקהילת האבטחה הגדולה יותר, צריכים לעבוד ברציפות יחד כדי לזהות ולתקן נקודות תורפה לפני שתוקפים יוכלו לנצל אוֹתָם."
ללא שוחים
מיקרוסופט חשפה היום ליקוי אבטחה בשם קוד ללא שוחים, שיאפשר לתוקף לעקוף את הגנת שלמות המערכת (SIP) ולבצע פעולות שרירותיות, להעלות הרשאות ל-root ולהתקין ערכות שורש במכשירים פגיעים.
חוקרי החברה גילו גם גרסאות חדשות של תוכנות זדוניות של macOS הידועות בשם UpdateAgent או Vigram, מעודכנות בטקטיקות התחמקות והתמדה חדשות.
בשנה שעברה, ביוני, חוקר אבטחה (רדמונד) מ-Tactical Network Solutions חשף פגמים קריטיים במספר דגמי נתבים של NETGEAR. האקרים יכולים להשתמש בפגמים כדי לפרוץ ולנוע לרוחב בתוך רשתות ארגוניות.
האם התמודדת עם אחת מהכישלונות הללו? שתף אותנו במחשבותיך בקטע התגובות למטה.