欢迎来到bob体育网址_bob在线_bob体育网址!
当前位置:首页 > 外汇基金 > Weakness in Zoom for macOS allows local attackers to hijack camera and microphone | CSO Online 内容

Weakness in Zoom for macOS allows local attackers to hijack camera and microphone | CSO Online

选择字号: 超大 标准 发布时间:2020-04-10 12:26 | 作者:admin

适用于MacOS缩放视频会议客户端没有充分利用应用功能强化的操作系统提供了,这可能允许本地恶意软件来提升其特权或访问摄像头和麦克风,而不在用户不知情。这些问题,从不安全使用系统API的茎,分别在其博客上透露周三,安全研究人员帕特里克·沃德尔。沃德尔拥有MacOS的安全性研究,包括寻找漏洞,分析恶意软件和编写安全工具对苹果平台的悠久历史。

[跟上8度热网络安全的发展趋势(4会冷)。给你的事业与顶级安全认证升压:谁他们的,他们的成本是什么,以及你所需要的。 |注册为CSO通讯。 ]

开发利用两个FLAWS要求已经在机器上的本地代码执行攻击者访问,但是这并不意味着他们没有严重的问题,因为本地代码执行有限的用户权限可以通过多种方式来实现。此外,沃德尔认为,这些问题可能通过缩小了容易避免因为攻击技术已经由他本人,并在博客文章,并在安全会议过去其他研究人员记录在案。

“首先,我们举例说明了如何特权的攻击者或恶意软件可能能够利用放大的安装程序获得root权限,”沃德尔在他的博客中说。 “在此之后,由于‘例外’的权利,我们展示了如何注入恶意库到Zoom的可信进程上下文。这提供了恶意软件记录所有变焦米能力eetings,或者干脆产卵放大在后台访问的麦克风和摄像头在任意时刻!“

”前者是问题,因为很多企业(现在)使用变焦的(可能)敏感的商务会议,而后者是问题的,因为它提供恶意软件的机会,暗中访问无论是麦克风或摄像头,没有MacOS的警报和/或提示,”该研究员表示。

其他的MacOS应用程序开发者应该注意,因为这些漏洞可能影响其他应用程序,以及如果他们使用类似配置的放大。

弃用的API的使用

沃德尔开始寻找菲利克斯的Seele,在安全公司VMRay技术领先后放大的安装程序适用于MacOS,提到的Twitter的是ZOOM使用MacOS的AuthorizationExecuteWithPrivileges API来提示用户输入他们的主密码,以便安装任务可以与根特权来执行 - 根是在UNIX等的系统的最高特权帐户

“停止我,如果你听到我说话之前(咆哮)这一点,但苹果显然注意到,AuthorizationExecuteWithPrivileges API已被弃用,不应该被使用,”沃德尔说,在他的博客文章。 “为什么呢?因为API不验证将被执行(以root身份!)二进制...这意味着本地未经授权的攻击或恶意软件的可能能够偷偷篡改或以升级他们的特权根替换项目(如好)。“

[准备成为一名注册信息安全系统专家与PluralSight这个全面的在线课程。现在提供为期10天的免费试用! ]

变焦用来执行一个bash脚本称为runwithroot其是通过在用户可写的临时目录安装程序解压缩的API。这意味着任何本地应用程序,包括恶意软件,可以监控变焦安装过程中,改写在运行该脚本和恶意代码添加到它。这将允许其采取系统的完全控制。

这种攻击的唯一限制是,恶意软件将不得不等待用户安装或更新放大,这将触发root访问权限的提示。

的应用硬化例外

苹果建议MacOS的应用程序开发人员使用一种称为硬化运行在Xcode功能编译他们的应用程序 - 适用于MacOS的集成开发环境。此功能使STrict代码签名验证不仅对主应用程序的可执行文件,但它的所有组件和加载代码。

“硬化运行时,与系统完整性保护(SIP)一起,通过预防保护您的软件运行时完整性某些类攻击,如代码注入,动态链接库(DLL)劫持,和进程内存空间篡改,”苹果说,它的文档。

虽然本硬化不会负面大多数应用产生影响,但是它限制了一些功能,如不与同一个团队的ID作为主应用程序签署刚刚在实时(JIT)编译或第三方插件。正因为如此,苹果允许开发者称为“权利”配置某些例外。

变焦与硬化运行编译时间选项,但使用其配置com.apple.security.cs.disable库验证的权利。这样有效地禁止代码签名验证其动态库,使代码注入攻击瓦德尔称“dylib代理”。目前还不清楚为什么变焦因为自己的库似乎是正确签署使用此例外。

沃德尔演示了名为libssl.1.0.0.dylib缩放库的攻击。他在其名称前添加下划线(_)字符改名为库,然后产生实际引用原始一个流氓版本。在本质上,他创造了一个无符号的代理库与变焦执行在运行时,但也指示应用到原始库相同的名称,以便应用程序的功能道具erly。

这样做的含义是从流氓库增益的相同的权限缩放应用,包括能够访问的摄像机和麦克风的恶意代码。

“要测试这个'访问继承”我添加一些代码来注入的库录制视频关闭摄像头的几秒钟,”沃德尔说。 “通常这个代码将触发从MacOS的警报,要求用户确认访问(MIC)和摄像头。然而,当我们正在注入变焦(其已经由用户定接入),均显示没有其他提示,并且注入的代码能够随意录制音频和视频。“

对于恶意代码访问摄像机,变焦需要运行,但这不是因为MacOS的一个问题,‘打开’命令 - 行实用程序有启动任何应用程序隐藏在后台的选项。这意味着,在放大的恶意软件捎带可以记录在任意时刻的视频和音频,在用户不知道变焦运行。

一个由沃德尔创建和维护自由Mac系统实用程序被称为监督并通知用户每时间的应用程序要访问他们的摄像头和麦克风。另外一个叫KnockKnock可以扫描和识别系统中的代理库。

“我们正在积极调查和合作,以解决这些问题,‘缩放发言人告诉CSO在一份电子邮件声明。’我们是在过程更新我们的安装程序来解决一个问题,将更新我们的客户,以减轻麦克风和摄像头的问题。”

沃德尔告诉CSO,任何应用程序使用该com.apple.security.cs.disable库验证lications容易受到相同的库代理的攻击,因为该授权允许任何库 - 未签名或由其他开发商签订 - 要加载,所以开发人员应该检查他们的应用程序和避免这个异常,如果可能的。

网站分类
最新文章
随机文章