macOS High Sierra「合成點擊」攻擊在Defcon上重現
據外媒報道,安全研究人員在 macOS High Sierra 上發現了一個漏洞,使得攻擊者能夠在受害者計算機上模仿滑鼠的點擊操作。更糟糕的是,這個在無意中被發現的漏洞,竟然能夠繞過安全提示,並徹底破壞 Mac 。Digita Security 首席研究官 Patrick Wardle 在 Defcon 計算機安全會議上透露,這一「合成」事件 —— 即基於軟體的「界面對象點擊」—— 仍然是 macOS 面臨的一大問題。
據 Threat Post 報道,儘管蘋果試圖修復這一漏洞,但新發現是,「合成點擊」依然能夠在某些情況下發揮作用。
在允許特定活動發生之前,可以使用惡意軟體中的『合成點擊』來繞過必須經由用戶同意的安全提示。
這可以簡單地啟用敏感元素(如 Keychain)訪問,以及載入內核擴展等風險較高的活動。
此前,「合成點擊」問題是在一個名為「用戶輔助內核擴展載入」的新安全功能中解決的。
該功能強制需要用戶通過安全系統界面中的『允許』按鈕,手動批准載入內核擴展。
在 macOS High Sierra 中,操作系統已過濾掉可能影響安全警報的『合成點擊』,使攻擊者無法使用該技術。
Wardle 在演講中承認,他在工作時意外發現了一個 High Sierra 的缺陷,但承認其繞過代碼存在著一定的限制。
滑鼠單擊被解釋為 macOS 中的兩個動作,即單擊和釋放的『向下』和『向上』元素。
然而兩次連續的『合成向下』事件,竟然被 High Sierra 誤認為是手動的合法點擊。
至於錯誤的『向上』事件,似乎來自 macOS 本身並繞過了過濾系統。
在複製和粘貼「合成滑鼠點擊代碼」時,Wardle 犯了一個錯誤 —— 忘記更改「向上」事件的標誌值。
結果在編譯代碼之後,發現其竟然允許『合成點擊』功能 —— 兩行代碼,就完全打破了這種安全機制。
令人難以置信的是,這種瑣碎的攻擊竟然成功了。我都不好意思談論這個錯誤,但相比之下,蘋果那邊顯然更加尷尬。
需要指出的是,該漏洞僅影響 High Sierra,而不溯及早期的 macOS 版本,所以它可能是暫時引入的。
為全面反之此類攻擊,Wardle 建議 macOS 10.14 Mojave 應該徹底阻止所有『合成事件』—— 但這也可能影響到一些合法的應用程序。
