Microsoft avertizează despre eroarea confidențialității macOS și îndeamnă utilizatorii să actualizeze

Într-un scurt timp, Microsoft a avertizat utilizatorii Apple macOS să-și actualizeze dispozitivele la cel mai recent nivel de patch-uri, după ce compania a dezvăluit o eroare în tehnologia Apple Transparency, Consent, and Control (TCC) care ar putea permite atacatorilor să instaleze spyware.

Așa-numita vulnerabilitate „powerdir” (CVE-2021-30970) a fost descoperit de Microsoft și dezvăluit lui Apple prin coordonarea dezvăluirii vulnerabilităților (CVD) prin Microsoft Security Vulnerability Research (MSVR) și permite atacatorilor să falsifice caracteristica Transparență, Consimțământ și Control.

TCC este o tehnologie care datează din 20212, care este concepută pentru a împiedica aplicațiile să acceseze informațiile personale ale utilizatorilor fără consimțământul și cunoștințele prealabile ale acestora.

„Am descoperit că este posibil să schimbăm programatic directorul principal al unui utilizator țintă și să instalăm o bază de date TCC falsă, care stochează istoricul de consimțământ al solicitărilor de aplicații. Dacă este exploatată pe sisteme nepatchate, această vulnerabilitate ar putea permite unui actor rău intenționat să orchestreze un atac pe baza datelor personale protejate ale utilizatorului. De exemplu, atacatorul ar putea deturna o aplicație instalată pe dispozitiv – sau să-și instaleze propria aplicație rău intenționată – și să acceseze microfonul pentru a înregistra conversații private sau a capta capturi de ecran cu informații sensibile afișate pe ecranul utilizatorului.”, a spus Microsoft într-o postare pe blog.

Apple a lansat o remediere a problemei pe 13 decembrie 2021, iar Microsoft îndeamnă utilizatorii macOS să aplice patch-urile cât mai curând posibil.

de ToI