TTT 2025 Events

นักวิจัยพบช่องโหว่ Bypass การป้องกันของ macOS

June 4, 2019 Cybersecurity, Endpoint Security, Vulnerability and Risk Management

Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยจาก Digita Security บริษัทเชี่ยวชาญด้านความมั่นคงปลอดภัยของ macOS ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถลัดผ่านการป้องกันเพื่อเข้าใช้งานฟีเจอร์ Synthetic Event ได้

credit : Apple.com

Synthetic Event เป็นกลไกที่เปิดให้แอปพลิเคชันสร้างคลิกเมาส์หรือกดคีย์บอร์ดได้อย่างอัตโนมัติผ่านทางที่ใช้ได้ผ่านทาง Core Graphic Framework หรือ AppleScript ซึ่งแน่นอนว่ามีมัลแวร์ที่นำความสามารถนี้ไปใช้งานเช่น ลัดผ่านการป้องกันด้านความมั่นคงปลอดภัยของ Apple หรือ Third-party, ขโมยรายชื่อติดต่อ, ปรับแต่งค่า Preference ของ OS, เข้าถึง Webcam และ รันคำสั่งใน Terminal เป็นต้น ทั้งนี้ในปี 2018 ทาง Apple ได้ประกาศมาตรการป้องกันการเข้าถึง Synthetic Event แล้วแต่ดูเหมือนการป้องกันจะไม่ได้ผลเช่นนั้นเพราะนักวิจัยได้พบช่องโหว่ใหม่ที่ช่วยลัดผ่านการป้องกันข้างต้นให้เข้าถึง Synthetic Event ได้อีก

ไอเดียของช่องโหว่นั้นเกิดขึ้นกับระบบ Transparency Consent and Control (TCC) ที่คอยดูแลฐานข้อมูลสำหรับการตั้งค่าการควบคุมด้าน Privacy ซึ่งภายในประกอบด้วยการอนุญาตแอปพลิเคชันในการเข้าถึง โดยได้มีการทำ Whitelist รายชื่อแอปที่อนุญาตไว้ใน AllowApplicationsList.plist สำหรับอ้างอิงในการเข้าถึงฟังก์ชันจากแอปในเวอร์ชันต่างๆ ซึ่งนักวิจัยชี้ว่าการ Verify ทำได้ไม่ดีพอ ด้วยเหตุนี้เองเพียงแค่แฮ็กเกอร์เลือกแอปพลิเคชันที่ถูกอนุญาตมาแก้ไขก็จะสามารถเข้าถึง Synthetic Event ได้

โดยนักวิจัยกล่าวว่า “VLC เป็นหนึ่งในแอปพลิเคชันที่ได้รับการยกเว้น ซึ่งอันที่จริงแล้ว Apple มีเจตนาที่จะตรวจสอบแล้วว่าเป็นแอปพลิเคชันจริงและไม่ได้ถูกแก้ไขด้วยการดูข้อมูล Code-signing อย่างไรก็ตามประเด็นคือการตรวจสอบยังไม่ดีพอเพราะพวกเขาตรวจเพียงว่าแอปถูก Sign แล้วจากคนที่พวกเขาคิดว่าน่าเชื่อถือแต่ไม่ได้ครอบคลุมไปถึง Executable และทรัพยากรในแอปพลิเคชัน ประเด็นคือเพียงแค่โหลด Plugin อันตรายของ VLC มาลงก็เข้าถึง Synthetic ได้นั่นเอง“–นักวิจัยกล่าว

อย่างไรก็ตามปัจจุบัน Wardle ได้แจ้งช่องโหว่แก่ Apple เรียบร้อยแล้วคาดว่าจะมีแพตช์ออกมาเร็ววันนี้แต่ไม่ต้องตกใจไปเพราะช่องโหว่นี้ไม่ใช่ลำดับแรกของการโจมตีซึ่งแฮ็กเกอร์ต้องเข้าถึงเครื่องเหยื่อให้ได้ก่อนถึงจะใช้งานช่องโหว่นี้ได้

ที่มา : https://www.zdnet.com/article/apple-still-has-problems-with-stopping-synthetic-clicks/ และ https://www.securityweek.com/hackers-can-bypass-macos-security-features-synthetic-clicks

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รายงาน Group-IB ชี้ APAC ต้องเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้นเรื่อย ๆ [PR]

รายงาน High-Tech Crime Trends Report 2025 ของ Group-IB เผยให้เห็นว่า ภูมิภาคเอเชียแปซิฟิกต้องเผชิญภัยคุกคามไซเบอร์ที่เพิ่มขึ้น ท่ามกลางสถานการณ์ความเสี่ยงที่ทั่วโลกกำลังเผชิญมากขึ้นเรื่อย ๆ

Cloudsec Asia จับมือ Nokia เสริมแกร่งระบบป้องกันภัยไซเบอร์ระดับ Mission-Critical ให้องค์กรในประเทศไทย [PR]

Cloudsec Asia ผู้ให้บริการโซลูชันความปลอดภัยไซเบอร์ชั้นนำของไทย ประกาศความร่วมมือครั้งสำคัญกับ Nokia เพื่อยกระดับความปลอดภัยทางไซเบอร์ระดับ Mission-Critical แก่องค์กรในประเทศไทย Cloudsec Asia จะเป็นผู้บูรณาการระบบ (System Integrator) สำหรับโครงการที่ใช้เทคโนโลยีความปลอดภัยของ Nokia …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand