Η Microsoft προειδοποιεί για σφάλμα απορρήτου του macOS, προτρέπει τους χρήστες να ενημερώσουν

Σε μια μικρή ανατροπή, η Microsoft προειδοποίησε τους χρήστες macOS της Apple να ενημερώσουν τις συσκευές τους στο πιο πρόσφατο επίπεδο ενημέρωσης κώδικα, αφού η εταιρεία αποκάλυψε ένα σφάλμα στην τεχνολογία Transparency, Consent and Control (TCC) της Apple που θα μπορούσε να επιτρέψει στους εισβολείς να εγκαταστήσουν λογισμικό υποκλοπής spyware.

Η λεγόμενη ευπάθεια "powerdir" (CVE-2021-30970) ανακαλύφθηκε από τη Microsoft και αποκαλύφθηκε στην Apple μέσω της Συντονισμένης Αποκάλυψης ευπάθειας (CVD) μέσω της Έρευνας ευπάθειας ασφαλείας της Microsoft (MSVR) και επιτρέπει στους εισβολείς να πλαστογραφούν τη δυνατότητα Διαφάνεια, συναίνεση και έλεγχος.

Το TCC είναι μια τεχνολογία που χρονολογείται από το 20212 και έχει σχεδιαστεί για να εμποδίζει τις εφαρμογές να έχουν πρόσβαση στις προσωπικές πληροφορίες των χρηστών χωρίς την προηγούμενη συγκατάθεση και γνώση τους.

«Ανακαλύψαμε ότι είναι δυνατό να αλλάξουμε μέσω προγραμματισμού τον οικιακό κατάλογο ενός χρήστη-στόχου και να εγκαταστήσουμε μια ψεύτικη βάση δεδομένων TCC, η οποία αποθηκεύει το ιστορικό συναίνεσης των αιτημάτων εφαρμογής. Εάν γίνει εκμετάλλευση σε μη επιδιορθωμένα συστήματα, αυτή η ευπάθεια θα μπορούσε να επιτρέψει σε έναν κακόβουλο παράγοντα να ενορχηστρώσει μια επίθεση με βάση τα προστατευμένα προσωπικά δεδομένα του χρήστη. Για παράδειγμα, ο εισβολέας θα μπορούσε να παραβιάσει μια εφαρμογή που είναι εγκατεστημένη στη συσκευή - ή να εγκαταστήσει τη δική του κακόβουλη εφαρμογή - και να αποκτήσει πρόσβαση στο μικρόφωνο για να καταγράψει ιδιωτικές συνομιλίες ή να τραβήξει στιγμιότυπα οθόνης ευαίσθητων πληροφοριών που εμφανίζονται στην οθόνη του χρήστη.», ανέφερε η Microsoft σε μια ανάρτηση ιστολογίου.

Η Apple κυκλοφόρησε μια επιδιόρθωση για το ζήτημα στις 13 Δεκεμβρίου 2021 και η Microsoft προτρέπει τους χρήστες macOS να εφαρμόσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό.

μέσω ToI