Avastati pahavara Xcsset, mis võib teha MacOS-is ilma loata ekraanipilte

Jamf on tarkvaraarendusettevõte, mis pakub Maci halduslahendusi ning arendab rakendusi iOS-i ja macOS-i jaoks. See ettevõte avastas šokeerivalt macOS-i arvutites haavatavuse, mis võimaldab XCSSET-i pahavaral piiranguteta juurde pääseda operatsioonisüsteemi nendele osadele, mis tavaliselt nõuavad luba. Juurdepääsetavad funktsioonid hõlmavad mikrofoni, veebikaamerat ja ekraani loata salvestamist.

Pildi autorid: Jamf

Trend Micro Antivirus teenused avastasid XCSSET-i pahavara eelmisel aastal 2020. Selgus, et see pahavara oli suunatud Apple'i arendajatele ja nende Xcode projektidele. Kui mittetäielikud rakendused on nakatunud, levib pahavara kõigi nendeni, kes neid rakendusi kasutavad, kodeerivad või testivad. Trend Micro kirjeldas seda strateegiat kui tarneahela rünnakut, mis tähendas, et pahavara ei rünnanud algfaasis lõppkasutajaid, vaid keskendus rakenduste installijatele ja maskeeris end sisse. Seda pahavara on regulaarselt värskendatud uuemate variantidega, mis on leitud kogu maailmast, mis sihivad ka M1-kiibi Apple'i seadmeid.

Pilt: Trend Micro

Kuidas XCSSET-i pahavara töötab?

Trend Micro kirjeldab pahavara toimimist ohvri arvutis kahe nulli päevana. Esimesel päeval tuleb Safari brauserisse sisse murda ja hankida kõik küpsised, mille abil häkker pääseb ligi kõikidele kasutaja veebikontodele. Teist nullpäeva kasutatakse Safari brauseri arendusversiooni installimiseks, mis võimaldab häkkeritel kontrollida juurdepääsu mis tahes veebisaidile. Jamf on aga avastanud, et eksisteeris kolmas nullpäev, mis võimaldas ründajal teha kasutaja ekraanist ekraanipilte ilma, et ta sellest teadlik oleks.

Pilt: Apple

Jamfi uurijad Jaron Bradley, Ferdous Saljooki ja Stuart Ashenbrenner on lisaks selgitanud, et see pahavara otsib ohvri arvutisse juba installitud rakendusi, millel on ekraani jagamise õigused. Kui see pahavara tuvastatakse, sisestab see nendesse rakendustesse ekraanisalvestuskoodi, mis toimib seejärel seljasõiduna. Kõige populaarsemate rakenduste hulka kuuluvad Zoom, Slack ja WhatsApp, mis teadmatult jagavad oma lube MacOS-is selle pahavaraga. XCSSET-i pahavara allkirjastab ka uue rakenduste komplekti sertifikaadi, mis aitab vältida macOS-i turvalisuse märgistamist.

Pilt: Google

Ideaalse stsenaariumi korral on macOS loodud kasutajalt loa hankimiseks enne, kui see annab juurdepääsu ja õiguste mis tahes rakendusele. See hõlmab ekraani salvestamist, veebikaamera mikrofoni ja salvestusruumi kasutamist. See pahavara suutis aga nendest lubadest mööda minna, kuna kasutas nn põikpära kontseptsiooni, lootes seadusliku tarkvaraga radari eest põgeneda.

Lõpuks teatas Jamf ka, et kuigi nende avastused hõlmasid tõsiasja, et pahavara jäädvustas ohvri töölaua ekraanipilte , võib seda programmeerida palju enamale. See pahavara pääseb ligi kasutaja veebikaamerale, mikrofonile, klaviatuurilöökidele ja jäädvustada kõik kasutaja isikuandmed .

Apple on kinnitanud, et nende uusim värskendus parandab selle vea MacOS 11.4-s, mis on juba hakanud kasutajatele levitama