A Microsoft divulgou detalhes sobre uma falha de segurança agora fechada na estrutura de Transparência, Consentimento e Controle (TCC) da Apple no macOS que poderia ser explorada para obter preferências de privacidade do usuário e acessar dados.
A falha, codinome HM Surf da gigante da tecnologia, é rastreada como CVE-2024-44133. O problema foi resolvido pela Apple como parte do macOS Sequoia 15, removendo o código vulnerável.
HM Surf “envolve a remoção da proteção TCC do diretório do navegador Safari e a modificação de um arquivo de configuração na lista especificada para obter acesso aos dados do usuário, incluindo páginas navegadas, câmera do dispositivo, microfone e localização, sem o consentimento do usuário”, Jonathan. Bar Or, do grupo Microsoft Threat Intelligence, disse.
A Microsoft disse que a nova proteção é limitada ao navegador Safari da Apple e que está trabalhando com outros grandes fornecedores de navegadores para testar ainda mais os benefícios dos arquivos de configuração locais.
HM Surf segue a descoberta da Microsoft de falhas do Apple macOS, como Shrootless, powerdir, Achilles e Migraine, que podem permitir que atores mal-intencionados contornem a aplicação de segurança.
Embora o TCC seja uma estrutura de segurança que impede que os aplicativos acessem as informações pessoais dos usuários sem sua permissão, um bug recém-descoberto pode permitir que os invasores contornem esse requisito e obtenham acesso a serviços de localização, catálogo de endereços, câmera, microfone, diretório de download e muito mais em forma não autorizada.
O acesso é regido por um conjunto de privilégios, com aplicativos da Apple como o Safari tendo a capacidade de ignorar completamente o TCC usando o privilégio “com.apple.private.tcc.allow”.
Embora isso permita que o Safari acesse livremente permissões confidenciais, também inclui um novo mecanismo de segurança chamado Hardened Runtime, que dificulta a execução de código arbitrário no contexto do navegador da web.
Dito isso, quando os usuários visitam um site que solicita acesso à localização ou à câmera pela primeira vez, o Safari solicita acesso com um pop-up semelhante ao TCC. Essas permissões são armazenadas no banco de dados de cada site em vários arquivos localizados no diretório “~/Library/Safari”.
A exploração do HM Surf projetada pela Microsoft depende da execução das seguintes etapas –
- Alterar o diretório inicial do usuário atual com o utilitário dscl, uma etapa que não requer acesso TCC no macOS Sonoma
- Editando arquivos confidenciais (por exemplo, PerSitePreferences.db) dentro de “~/Library/Safari” no diretório inicial real do usuário
- Alterar o diretório inicial de volta ao diretório original faz com que o Safari use os arquivos alterados
- Apresentando o Safari para abrir uma página da web que tira uma foto com a câmera do dispositivo e captura a localização
Este ataque pode ser estendido para capturar toda a câmera ou capturar áudio através do microfone de um Mac, disse a Microsoft. Os navegadores de terceiros não sofrem com esse problema, pois não têm os mesmos direitos de privacidade que os sistemas operacionais da Apple.
A Microsoft observou que viu atividades suspeitas relacionadas a uma ameaça de adware macOS conhecida como AdLoad que pode estar explorando a vulnerabilidade, exigindo que os usuários tomem medidas para aplicar as atualizações mais recentes.
“Como não conseguimos observar as etapas tomadas antes da operação, não podemos determinar totalmente se a campanha AdLoad está explorando a vulnerabilidade do surf HM em si”, disse Bar Or. “Os invasores que usam o mesmo método para explorar uma ameaça generalizada aumentam a importância de ter proteção contra ataques que usam esse método.”
