Investigadores de Microsoft detallan vulnerabilidad de macOS que podría permitir a atacantes obtener datos de usuario
2 min readMicrosoft detalló una vulnerabilidad que existía en macOS que podría permitir a un atacante eludir sus controles tecnológicos integrados y obtener acceso a datos de usuario protegidos. Apodado “powerdir”, el problema afecta a un sistema llamado Transparency Consent and Control (TCC) que ha estado disponible desde 2012 para ayudar a los usuarios a configurar la privacidad de sus aplicaciones. Esto podría permitir a los atacantes secuestrar una aplicación existente instalada en una computadora Mac o instalar su propia aplicación y comenzar a acceder al hardware, incluidos el micrófono y la cámara, para obtener datos del usuario.
Me gusta detallado en una entrada de blog, el Mac OS La vulnerabilidad podría explotarse omitiendo TCC para apuntar a datos confidenciales del usuario. Manzana en particular corrigió la falla en el macOS Monterrey 12.1 actualización que fue publicado mes pasado. también fue reparado a través de macOS Big Sur versión 11.6.2 para hardware antiguo. Sin embargo, los dispositivos que usan una versión anterior de macOS siguen siendo vulnerables.
Apple usa TCC para ayudar a los usuarios a configurar ajustes de privacidad como la cámara, el micrófono y el acceso a la ubicación del dispositivo, así como servicios como el calendario y la cuenta de iCloud. la tecnología es disponible para acceder a través de Seguridad y confidencialidad sección en Preferencias del Sistema.
Además de TCC, Apple utiliza una función que tiene como objetivo evitar que los sistemas ejecuten código no autorizado y ha aplicado una política que restringe el acceso a TCC solo a aplicaciones con acceso completo al disco. Sin embargo, un atacante puede modificar el directorio de inicio de un usuario objetivo y bloquear una base de datos TCC falsa para obtener el historial de consentimiento de las solicitudes de la aplicación. microsoft dijo el investigador de seguridad Jonathan Bar Or en la publicación del blog.
“Si se explota en sistemas sin parches, esta vulnerabilidad podría permitir que un actor malicioso organice potencialmente un ataque basado en los datos personales protegidos del usuario”, dijo el investigador.
Los investigadores de Microsoft también desarrollaron una prueba de concepto para demostrar cómo se podría explotar la vulnerabilidad cambiando la configuración de privacidad en una aplicación en particular.
manzana tiene Reconocido los esfuerzos del equipo de Microsoft en su documento de seguridad. La vulnerabilidad se representa como CVE-2021-300970.
Consulte las últimas noticias de Consumer Electronics Show en Gadgets 360, en nuestro CES 2022 centro.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.