網絡安全公司 Trend Micro 發表最新 macOS 漏洞 報告 , 指最新版本的 Big Spur 作業系統存在的 sandbox 漏洞 , 可讓惡意軟件 XCSSET 竊取部分應用軟件的儲取資料 , 當中包括 Telegram 帳戶登入資料及 Google Chrome 密碼管理器內儲存的數據 , 最終可令用戶被黑客搶奪網上服務帳戶 !
目錄
XCSSET 感染 macOS漏洞 原理
進化版 XCSSET 與早前的版本一樣 , 主要透過感染 macOS 及 iOS 應用程式開發者而散播 , 只要開發者錯誤地取用了 Xcode Project 的開發模組並應用於自家開發的程式中 , 其用戶便會面臨被入侵的風險 。 另外 , 如 macOS 用戶選擇從非官方 app store 下載應用軟件 , 亦有可能誤裝具惡意功能的虛假版本 。 而 XCSSET 是一款專門竊取電腦內儲存的帳戶登入資料的惡意軟件 , 因此受害者的帳戶便有可能被黑客搶奪 。 之前 Trend Micro 亦證實 XCSSET 已可用於採用蘋果自家 M1 處埋器的電腦之上 。
macOS 用戶使用權限漏洞
網絡安全公司 Jamf 曾分析其中一個變種 XCSSET 的入侵原理,它主要是利用Apple 用於保護私隱的 Transparency Consent and Control ( TCC ) 的安全框架漏洞,例如當有應用軟件需要取用電腦內的 webcam 及收音咪功能, TCC 便會彈出取用通知,用戶便不用擔心會被暗中盜錄私隱。不過, Jamf 研究員在分析惡意軟件 XCSSET 的程式碼時,便證實它可以利用 macOS 漏洞,從其他已取得某些使用權限的應用軟件上,「強奪」其權限,因此可繞過 TCC 安全框架在暗中執行。而研究員發現 XCSSET 可在受感染電腦上截取屏幕畫面,但強調由於 XCSSET 可強奪權限,因此可執行的動作非常多,例如開啟 webcam 及收音咪,甚至完整讀取硬碟內儲存的資料。
入侵 Telegram、Chrome 技術
而今次被 Trend Micro 發現的 XCSSET 升級版,它主要瞄準多個應用軟件如 Telegram 及 Google Chrome,從中竊取已儲存的帳戶登入資料。
專家以即時訊息軟件 Telegram 示範,他們分別在兩部 Mac 機內安裝 Telegram ,然後只在其中一部電腦 A 內登入帳戶。當電腦受惡意軟件 XCSSET 感染後, XCSSET 會在 macOS 作業系統的 Group Containers 目錄內建立兩個名稱為 telegram.applescript 及 keepcoder.Telegram 資料夾,然後將 keepcoder.Telegram 內收集到的資料搬移至電腦 B 上,當打開電腦 B 內的 Telegram ,專家便發現可以順利登入,而從功能上看, telegram.applescript 則會將從 keepcoder.Telegram 收集到的資料壓縮為 zip 檔,然後上傳至黑客的 C&C 中心。
瀏覽器 Chrome 亦是另一目標,因為不少用戶會選擇將不同網上帳戶登入資料儲存於 Chrome 的密碼管理器中。不過,入侵手法就較複雜,黑客必須製作一個虛假的對話通知,誘使用戶點擊後才能取得足夠的取用權限。其他受影響的應用軟件還包括 Contacts、 Evernote 、 Notes 、 Opera 、 Skype 及 WeChat。
macOS未能完全隔離軟件存取
現階段,進化版 XCSSET 可於最新版本的 Big Spur macOS 上運作, Trend Micro 專家指出漏洞出現的原因,在於 Apple 未有為每個應用軟件提供完整的 sandbox 防護,因此即使只是持有普通權限的使用者,也能讀取上述位置的檔案內容。
