Хакеры разрабатывают всё более сложные кроссплатформенные тактики, чтобы воспользоваться преимуществами постоянно растущей базы пользователей Mac, и последняя из них нацелена на фреймворк TCC.
Репутация Mac как надёжного средства защиты – ценный актив и одновременно опасная проблема. По мере того как всё больше компаний переходят на эту платформу, она становится объектом пристального внимания хакеров.
Архитектура безопасности macOS включает в себя фреймворк Transparency, Consent, and Control (TCC), который призван защитить конфиденциальность пользователей, контролируя разрешения приложений. Однако недавние выводы компании Interpres Security показывают, что TCC можно манипулировать, чтобы сделать компьютеры Mac уязвимыми для атак.
Фреймворк TCC управляет разрешениями приложений в macOS для защиты конфиденциальной информации и системных настроек. К сожалению, уязвимости в нём позволяют получить несанкционированный доступ к системе.
Хакеры всё чаще нацеливаются на корпоративных пользователей, таких как разработчики и инженеры, используя различные тактики социальной инженерии.
В прошлом TCC уже имела уязвимости и недостатки, включая прямые модификации базы данных и использование слабых мест в защите целостности системы. В предыдущих версиях хакеры могли получить права доступа к файлу TCC.db
и модифицировать его.
В macOS Sierra Apple ввела защиту целостности системы (SIP) для противодействия таким атакам, но даже SIP удалось обойти. Например, в 2023 году Microsoft обнаружила уязвимость в macOS, которая могла полностью обойти System Integrity Protection.
Apple устранила некоторые из этих проблем с помощью обновлений безопасности, но Interpres Security предупреждает, что злоумышленники, например северокорейская Lazarus Group, по-прежнему нацелены на компьютеры Mac в корпоративной среде.
Помимо TCC, потенциальным вектором атаки является Finder. По умолчанию файловый менеджер имеет полный доступ к диску и не отображается в пункте меню настроек «Конфиденциальность и безопасность».
Если доступ к Finder предоставлен терминалу, он становится постоянным, если его не отменить вручную. Таким образом, злоумышленник может использовать Finder для получения контроля над терминалом и доступа к диску.
Как защититься
Для защиты систем macOS от взлома TCC можно использовать специальные рекомендации. Всегда держите защиту целостности системы включенной и обновляйте операционную систему для устранения уязвимостей.
Кроме того, корпоративные ИТ-отделы могут ограничить права доступа пользователей и приложений, применяя принцип наименьших привилегий. Это способ обеспечить каждому пользователю только те права, которые необходимы для выполнения его работы.
Также очень важно регулярно проводить тренинги по безопасности, чтобы ознакомить пользователей с попытками фишинга и другими распространёнными тактиками, используемыми в социальных инженерных атаках. Системы надёжны лишь настолько, насколько надёжно их самое слабое звено, которым обычно является человеческий фактор.
Ещё по теме:
- Playing Kafka — погрузитесь в мир печально известного писателя на iOS, Android и ПК
- Компьютеры Mac начнут оснащаться чипами M4, ориентированными на искусственный интеллект, с конца 2024 года
- DuckDuckGo представил PrivacyPro — свою первую платную подписку