据外媒报道,安全研究人员在 macOS High Sierra 上发现了一个漏洞,使得攻击者能够在受害者计算机上模仿鼠标的点击操作。 更糟糕的是,这个在无意中被发现的漏洞,竟然能够绕过安全提示,并彻底破坏 Mac 。Digita Security 首席研究官 Patrick Wardle 在 Defcon 计算机安全会议上透露,这一“合成”事件 —— 即基于软件的“界面对象点击”—— 仍然是 macOS 面临的一大问题。
据 Threat Post 报道,尽管苹果试图修复这一漏洞, 但新发现是,“合成点击”依然能够在某些情况下发挥作用。
在允许特定活动发生之前,可以使用恶意软件中的‘合成点击’来绕过必须经由用户同意的安全提示。
这可以简单地启用敏感元素(如 Keychain)访问,以及加载内核扩展等风险较高的活动。
此前,“合成点击”问题是 在一个名为“用户辅助内核扩展加载”的新安全功能中解决的。
该功能强制需要用户通过安全系统界面中的‘允许’按钮,手动批准加载内核扩展。
在 macOS High Sierra 中,操作系统已过滤掉可能影响安全警报的‘合成点击’,使攻击者无法使用该技术。
Wardle 在演讲中承认, 他在工作时意外发现了一个 High Sierra 的缺陷,但承认其绕过代码存在着一定的限制。
鼠标单击被解释为 macOS 中的两个动作,即单击和释放的‘向下’和‘向上’元素。
然而两次连续的‘合成向下’事件,竟然被 High Sierra 误认为是手动的合法点击。
至于错误的‘向上’事件,似乎来自 macOS 本身并绕过了过滤系统。
在复制和粘贴“合成鼠标点击代码”时, Wardle 犯了一个错误 —— 忘记更改“向上”事件的标志值。
结果在编译代码之后,发现其竟然允许‘合成点击’功能 —— 两行代码,就完全打破了这种安全机制。
令人难以置信的是,这种琐碎的攻击竟然成功了。我都不好意思谈论这个错误,但相比之下,苹果那边显然更加尴尬。
需要指出的是, 该漏洞仅影响 High Sierra,而不溯及早期的 macOS 版本, 所以它可能是暂时引入的。
为全面反之此类攻击,Wardle 建议 macOS 10.14 Mojave 应该彻底阻止所有‘合成事件’—— 但这也可能影响到一些合法的应用程序。
