克日,Jamf研究职员在XCSSET 恶意软件中发现了一个苹果TCC 0 day破绽行使,攻击者行使该0 day破绽可以绕过苹果的TCC平安珍爱。

在最新宣布的macOS 11.4版本中,苹果修复了一个绕过TCC(Transparency Consent and Control,透明度赞成和控制)框架的0 day破绽行使——CVE-2021-30713。TCC是控制应用可以接见系统中的哪些资源的,好比授予软件对摄像头和麦克风的接见权限。攻击者行使该破绽可以在无需用户昭示赞成的情形下获取硬盘的接见权限、录屏和其他权限。

Jamf研究职员剖析发现XCSSET 也软件使用该破绽行使来让TCC以在无需用户赞成和权限的情形下实现用户桌面截屏。

绕过破绽行使

Jamf研究职员在剖析XCSSET 恶意软件样本时发现了一个名为screen_sim.applescript 的AppleScript模块。该模块中中有一个名为verifyCapturePermissions 的检查,并将应用ID作为一个参数。

研究职员查看日志发现,恶意AppleScript 模块似乎在寻找有截图权限的应用。而且乐成找到了这样的APP。

研究职员进一步剖析verifyCapturePermissions 函数,发现该剧本在已安装的应用列表中检查截屏权限。该列表是来自对以下软件appID的较早检查,被恶意软件称为“ donorApps”。

被恶意软件攻击的目的应用程序ID列表是用户经常授予屏幕共享权限作为其正常事情一部门的所有应用程序。然后,该恶意软件使用以下mdfind下令检查受害者的装备上是否安装了appID。

 

,

足球免费贴士

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

若是在系统上找到任一个appID,该下令将返回已安装应用程序的路径。恶意软件行使这些信息可以制作一个自界说的AppleScript应用程序,并将其注入已安装的donor应用程序中。

剧本会根据以下顺序来执行动作:

1、从恶意软件作者的C2 服务器下载XCSSET AppleScript截屏模块到内陆~/Library/Caches/GameKit 文件夹;

2、通过使用osacompile 下令将截屏模块转化称一个基于AppleScript的应用——avatarde.app。以这种方式编译任何AppleScript时,都市在新确立的应用程序捆绑包的/ Contents / MacOS /目录中放置一个名为“ applet”的可执行文件,而且该applet将要执行的剧本可以位于/ Contents / Resources / Scripts / main中。

3、然后,新确立的Info.plist将会被plutil二进制文件修改,将首选项设置LSUIElement修改为true。这一操作使得应用程序可以作为后台历程运行,对用户隐藏自己的存在。

4、然后下载一个空缺图标,并将其应用于应用程序。

5、最后,使用如下代码将新确立的应用程序放置在现有的donor应用程序中:

 

例如,若是在系统上找到虚拟 *** 应用程序zoom.us.app,则恶意软件将自己放置在:

/Applications/zoom.us.app/Contents/MacOS/avatarde.app

若是受害盘算机运行的是macOS 11或更高版本的macOS系统,则会用ad-hoc暂且署名对avatarde应用举行署名,或用盘算机自己对其举行署名。

所有文件放置到位后,应用程序将背离父应用程序,好比上例中的Zoom。也就是说,恶意应用程序可以无需用户的明确赞成举行屏幕截图或录屏。由于其从父程序Zoom处继续了对应的TCC权限。这对终端用户来说是一个很大的隐私问题。

Jamf研究职员在测试历程中发现,该破绽的行使实在并不局限于屏幕录像权限,可以将donor应用的权限转移到恶意APP中。

本文翻译自:https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/

逆熵官网

万利逆熵官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

环球UG官网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:ipfs官网(www.ipfs8.vip):苹果TCC绕过0 day破绽行使
评论关闭

分享到:

火星陨石“流浪”到地球之谜首次破解