Долгое время компьютеры Mac считались эталоном цифровой безопасности, однако рост их доли в корпоративном сегменте сделал платформу желанной целью для хакеров. Исследователи из компании XM Cyber обнаружили критическую уязвимость в macOS, которая позволяет злоумышленникам бесшумно отключать защитное программное обеспечение. При этом взломщикам не требуются пароль администратора, эксплуатация ядра или обход системы защиты целостности (System Integrity Protection), а сама атака практически не оставляет цифровых следов.
В основе проблемы лежит архитектура XPC — встроенного фреймворка Apple, через который приложения обмениваются данными с фоновыми службами, обладающими расширенными правами. В штатном режиме macOS проверяет криптографическую подпись программы: если она легитимна, система запоминает её статус, чтобы не тратить ресурсы на повторные проверки. Именно этот механизм доверия исследователи смогли обернуть против самой операционной системы.
Проблема заключается в кешировании. Злоумышленнику достаточно запустить доверенное приложение, чтобы пройти первичную проверку, а затем внедрить в него вредоносный код. Получив такой «пропуск», хакер может отправлять привилегированные команды — например, принудительно остановить работу систем безопасности под видом планового технического обслуживания.
Специалисты XM Cyber уже успешно протестировали уязвимость на популярных корпоративных платформах: системе обнаружения угроз CrowdStrike Falcon и сервисе управления устройствами Kandji. Разработчики оперативно отреагировали на проблему. Компания CrowdStrike добавила новые алгоритмы обнаружения и выплатила исследователям вознаграждение, а Kandji выпустила патч, устраняющий уязвимость.
Несмотря на серьёзность ситуации, корпорация Apple пока воздерживается от официальных комментариев и не выпускала экстренных бюллетеней безопасности. Ответственность за защиту сейчас лежит на сторонних разработчиках, которым необходимо внедрить официальные API от Apple для строгой проверки подлинности запросов в реальном времени, отказавшись от опоры на кешированные подписи.
Полный технический разбор атаки и демонстрация бесплатного сканера XPC Hunter, который ищет подобные бреши в системе, состоятся в августе 2026 года на конференции Black Hat Arsenal в Лас-Вегасе. До этого момента ИТ-администраторам остаётся лишь контролировать своевременное обновление корпоративного софта, а обычным пользователям — соблюдать базовую гигиену: использовать надёжные пароли и двухфакторную аутентификацию.
