นักวิจัยพบช่องโหว่ Bypass การป้องกันของ macOS

Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยจาก Digita Security บริษัทเชี่ยวชาญด้านความมั่นคงปลอดภัยของ macOS ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถลัดผ่านการป้องกันเพื่อเข้าใช้งานฟีเจอร์ Synthetic Event ได้

Synthetic Event เป็นกลไกที่เปิดให้แอปพลิเคชันสร้างคลิกเมาส์หรือกดคีย์บอร์ดได้อย่างอัตโนมัติผ่านทางที่ใช้ได้ผ่านทาง Core Graphic Framework หรือ AppleScript ซึ่งแน่นอนว่ามีมัลแวร์ที่นำความสามารถนี้ไปใช้งานเช่น ลัดผ่านการป้องกันด้านความมั่นคงปลอดภัยของ Apple หรือ Third-party, ขโมยรายชื่อติดต่อ, ปรับแต่งค่า Preference ของ OS, เข้าถึง Webcam และ รันคำสั่งใน Terminal เป็นต้น ทั้งนี้ในปี 2018 ทาง Apple ได้ประกาศมาตรการป้องกันการเข้าถึง Synthetic Event แล้วแต่ดูเหมือนการป้องกันจะไม่ได้ผลเช่นนั้นเพราะนักวิจัยได้พบช่องโหว่ใหม่ที่ช่วยลัดผ่านการป้องกันข้างต้นให้เข้าถึง Synthetic Event ได้อีก

ไอเดียของช่องโหว่นั้นเกิดขึ้นกับระบบ Transparency Consent and Control (TCC) ที่คอยดูแลฐานข้อมูลสำหรับการตั้งค่าการควบคุมด้าน Privacy ซึ่งภายในประกอบด้วยการอนุญาตแอปพลิเคชันในการเข้าถึง โดยได้มีการทำ Whitelist รายชื่อแอปที่อนุญาตไว้ใน AllowApplicationsList.plist สำหรับอ้างอิงในการเข้าถึงฟังก์ชันจากแอปในเวอร์ชันต่างๆ ซึ่งนักวิจัยชี้ว่าการ Verify ทำได้ไม่ดีพอ ด้วยเหตุนี้เองเพียงแค่แฮ็กเกอร์เลือกแอปพลิเคชันที่ถูกอนุญาตมาแก้ไขก็จะสามารถเข้าถึง Synthetic Event ได้

โดยนักวิจัยกล่าวว่า “VLC เป็นหนึ่งในแอปพลิเคชันที่ได้รับการยกเว้น ซึ่งอันที่จริงแล้ว Apple มีเจตนาที่จะตรวจสอบแล้วว่าเป็นแอปพลิเคชันจริงและไม่ได้ถูกแก้ไขด้วยการดูข้อมูล Code-signing อย่างไรก็ตามประเด็นคือการตรวจสอบยังไม่ดีพอเพราะพวกเขาตรวจเพียงว่าแอปถูก Sign แล้วจากคนที่พวกเขาคิดว่าน่าเชื่อถือแต่ไม่ได้ครอบคลุมไปถึง Executable และทรัพยากรในแอปพลิเคชัน ประเด็นคือเพียงแค่โหลด Plugin อันตรายของ VLC มาลงก็เข้าถึง Synthetic ได้นั่นเอง“–นักวิจัยกล่าว

อย่างไรก็ตามปัจจุบัน Wardle ได้แจ้งช่องโหว่แก่ Apple เรียบร้อยแล้วคาดว่าจะมีแพตช์ออกมาเร็ววันนี้แต่ไม่ต้องตกใจไปเพราะช่องโหว่นี้ไม่ใช่ลำดับแรกของการโจมตีซึ่งแฮ็กเกอร์ต้องเข้าถึงเครื่องเหยื่อให้ได้ก่อนถึงจะใช้งานช่องโหว่นี้ได้

ที่มา : https://www.zdnet.com/article/apple-still-has-problems-with-stopping-synthetic-clicks/ และ https://www.securityweek.com/hackers-can-bypass-macos-security-features-synthetic-clicks