A Microsoft divulgou detalhes sobre uma falha de segurança agora corrigida na estrutura de Transparência, Consentimento e Controle (TCC) da Apple no macOS que provavelmente foi explorada para contornar as preferências de privacidade do usuário e acessar dados.
A deficiência, codinome HM Surf da gigante da tecnologia, é rastreada como CVE-2024-44133. O problema foi resolvido pela Apple como parte do macOS Sequoia 15, removendo o código vulnerável.
HM Surf “envolve remover a proteção TCC do diretório do navegador Safari e modificar um arquivo de configuração nesse diretório para obter acesso aos dados do usuário, incluindo páginas navegadas, câmera, microfone e localização do dispositivo, sem o consentimento do usuário”, Jonathan Bar Or, da equipe Microsoft Risk Intelligence, disse.
A Microsoft disse que as novas proteções estão limitadas ao navegador Safari da Apple e que está trabalhando com outros grandes fornecedores de navegadores para explorar ainda mais os benefícios do fortalecimento dos arquivos de configuração locais.
HM Surf segue a descoberta da Microsoft de falhas do Apple macOS, como Shrootless, powerdir, Achilles e Migraine, que podem permitir que atores mal-intencionados evitem as medidas de segurança.
Embora o TCC seja uma estrutura de segurança que impede que os aplicativos acessem as informações pessoais dos usuários sem o seu consentimento, o bug recém-descoberto pode permitir que os invasores contornem esse requisito e obtenham acesso a serviços de localização, catálogo de endereços, câmera, microfone, diretório de downloads e outros em forma não autorizada.
O acesso é regido por um conjunto de direitos, com os próprios aplicativos da Apple, como o Safari, tendo a capacidade de contornar completamente o TCC usando o direito “com.apple.personal.tcc.permit”.
Embora isso permita que o Safari acesse livremente permissões confidenciais, ele também incorpora um novo mecanismo de segurança chamado Hardened Runtime, que dificulta a execução de código arbitrário no contexto do navegador da net.
Dito isso, quando os usuários visitam um web site que solicita acesso à localização ou à câmera pela primeira vez, o Safari solicita o acesso por meio de um pop-up semelhante ao TCC. Esses direitos são armazenados por web site em vários arquivos localizados no diretório “~/Library/Safari”.
A exploração do HM Surf desenvolvida pela Microsoft depende da execução das seguintes etapas –
- Alterar o diretório inicial do usuário atual com o utilitário dscl, uma etapa que não requer acesso TCC no macOS Sonoma
- Modificando os arquivos confidenciais (por exemplo, PerSitePreferences.db) em “~/Library/Safari” no diretório inicial actual do usuário
- Alterar o diretório inicial de volta ao diretório authentic faz com que o Safari use os arquivos modificados
- Inicie o Safari para abrir uma página da net que tira uma foto da câmera do dispositivo e obtém a localização
O ataque pode ser estendido ainda mais para salvar todo o fluxo da câmera ou capturar áudio furtivamente através do microfone do Mac, disse a Microsoft. Os navegadores de terceiros não sofrem com esse problema, pois não têm os mesmos direitos privados que os aplicativos da Apple.
A Microsoft observou que observou atividades suspeitas associadas a uma ameaça conhecida de adware macOS chamada AdLoad, que provavelmente explorava a vulnerabilidade, tornando imperativo que os usuários tomassem medidas para aplicar as atualizações mais recentes.
“Como não fomos capazes de observar as etapas tomadas que levaram à atividade, não podemos determinar completamente se a campanha AdLoad está explorando a vulnerabilidade do surf HM em si”, disse Bar Or. “Os invasores que utilizam um método semelhante para implantar uma ameaça predominante aumentam a importância de ter proteção contra ataques que utilizam esta técnica”.