De process injection-kwetsbaarheid maakt toegang tot webcams, microfoons en gevoelige informatie mogelijk.
De vondst van Thijs Alkemade, een ethische hacker van Computest Security, omzeilt de beveiligingsmaatregelen binnen het besturingssysteem van Apple. Het vertoont enige gelijkenis met de ontdekking van Alkemede in de zomer van 2022. Ook toen ging het om een process injection-kwetsbaarheid in macOS waardoor kwaadwillenden toegang konden krijgen tot het systeem.
Via de vulnerabilities worden de beveiligingsmaatregelen van het besturingssysteem omzeild. Normaal gesproken kan een applicatie op een Mac niet zomaar bij gevoelige data. Hiervoor moet de gebruiker namelijk eerst toestemming geven. Denk aan permissies voor toegang tot de webcam of documenten. De kwetsbaarheden maakten het echter mogelijk om deze toestemming volledig te omzeilen, wat potentieel leidt tot toegang tot alle data.
Commando uitvoeren
In een uitgebreide blog gaat Computest in op de werking van de nieuwe process injection-kwetsbaarheid. Alkemade ontdekte dat het uitvoeren van shell-commando’s leidt tot het verkrijgen van de TCC-permissies van de applicatie. Met ieder commando dat de ethische hacker uitvoerde, wist hij toegang te krijgen tot de microfoon en webcam, mits de originele applicatie al toestemming had. Ook kon hij bij geolocatie van de gebruiker en gevoelige bestanden uit de Mail.app-database.
Computest voegt wel toe: “We hebben geen manier gevonden om aan de sandbox te ontsnappen, omdat sandbox-applicaties geen andere applicatie kunnen kopiëren en starten. Hoewel nib-bestanden ook worden gebruikt in iOS-apps, hebben we geen manier gevonden om deze techniek daar toe te passen, omdat de sandbox van iOS-apps het wijzigen van de bundel van een andere applicatie ook onmogelijk maakt. Daarnaast zou de exploit ook een compleet ander pad moeten volgen, aangezien bindings, AppleScript en Python niet bestaan op iOS.”
De kwetsbaarheid is inmiddels niet meer in het besturingssysteem aanwezig. Het duurde echter enige tijd tot Apple de vulnerability oploste, omdat het om een ontwerpfout ging. In oktober 2022 verscheen met macOS 13.0 een eerste oplossing, maar die bleek gemakkelijk te omzeilen. De release van macOS 14.0 in september 2023 bracht wel de juiste fix. Nu de oplossing er is, kan Alkemade met de details naar buiten treden.
Tip: DORA: Europese wetgeving voor financiële instellingen stelt ook eisen aan ICT-dienstverleners