Хакеры задействовали уязвимость в полностью обновлённой версии операционной системы Apple macOS. С её помощью можно делать снимки экрана компьютеров Mac без необходимости получать разрешения от пользователя.
Уязвимость используется вредоносной программой XCSSET, которая была обнаружена компанией Trend Micro в прошлом августе. В то время применялись две уязвимости для инфицирования компьютеров Mac разработчиков ПО. Вредоносная программа крадёт куки браузера и файлы, внедряет бэкдоры в сайты, похищает информацию из Skype, Telegram и других установленных приложений, делает скриншоты, шифрует файлы с требованием выкупа.
Заражение происходит от вредоносных проектов, которые злоумышленники написали на Xcode. Это инструмент, который Apple бесплатно предоставляет разработчикам программного обеспечения под свои операционные системы. Когда один из таких проектов XCSSET запускается, вредоносный код выполняется на компьютерах Mac. Проект Xcode представляет собой репозиторий всех файлов, ресурсов и информации для создания приложения.
В марте исследователи из компании SentinelOne обнаружили новую библиотеку вредоносного кода, где также установлен XCSSET. В понедельник специалисты из компании Jamf, которая отвечает за обеспечение безопасности корпоративных клиентов Apple, рассказали о неизвестной прежде уязвимости нулевого дня, которую применяет XCSSET. Уязвимость находится в фреймворке Transparency Consent and Control, который требует явного разрешения пользователя, прежде чем установленное приложение может получить доступ к жёсткому диску, микрофону, камере и другим ресурсам.
XCSSET применяет уязвимость для обхода защиты TCC и может незаметно делать снимки экрана. Данная уязвимость получила номер CVE-2021-30713 и Apple закрыла её в понедельник в версии macOS 11.4.
Уязвимость появилась в результате логической ошибки, которая позволяет XCSSET скрываться внутри директории установленного приложения, уже имеющего разрешение на съёмку скриншотов. Эксплоит даёт вредоносной программе возможность наследовать разрешения.
Теперь уязвимость закрыта и TCC работает как задумано. Это означает, что появляется диалоговое окно, позволяющее открыть системные настройки для разрешения приложению доступа или запретить доступ.
XCSSET не опасен для компьютеров Mac, где нет вредоносного проекта на Xcode. Это значит, что обычным пользователям можно не волноваться.
