Microsoft, yetkisiz erişim sağlayan bir macOS güvenlik açığı keşfetti. Cihazınızı şimdi güncelleyin!
macOS Güvenlik Açığı
Microsoft, Apple’ın Şeffaflık, Onay ve Kontrol (TCC) çerçevesindeki henüz düzeltilen bir güvenlik açığını açıkladı. Bu açıklık, kullanıcıların gizlilik tercihlerini atlatmak ve verilerine erişmek için kullanılmaktadır.
HM Surf olarak kodlanan ve CVE-2024-44133 olarak kayda geçen bu eksiklik, Apple tarafından macOS Sequoia 15 ile giderildi ve zafiyetli kod kaldırıldı.
Microsoft Tehdit İstihbarat ekibinin üyesi Jonathan Bar Or, “HM Surf, Safari tarayıcı dizinindeki TCC korumasını kaldırmayı ve söz konusu dizindeki bir yapılandırma dosyasını değiştirmeyi, böylece kullanıcıların izni olmadan tarama geçmişine, cihaz kamerasına, mikrofonuna ve konumuna erişim sağlamayı amaçlamaktaydı.” dedi.
Microsoft, yeni yamaların yalnızca Apple’ın Safari tarayıcısına özgü olduğunu ve diğer büyük tarayıcı üreticileriyle birlikte yerel yapılandırma dosyalarını güçlendirmek için çalıştıklarını belirtti.
Siber Güvenlik
HM Surf, Microsoft’un daha önce keşfettiği Apple macOS açıklıklarının (Shrootless, powerdir, Achilles ve Migraine) hemen ardından ortaya çıktı. Bu açıklıklar, kötü niyetli kişilerin güvenlik önlemlerini atlatmalarına olanak tanıyordu.
TCC, uygulamaların kullanıcıların kişisel bilgilerine izin olmadan erişmesini engelleyen bir güvenlik önlemidir. Yeni keşfedilen bu hata, saldırganların bu seviyeyi atlayıp konum hizmetlerine, adres defterine, kameraya, mikrofona, indirme dizinine ve diğerlerine yetkisiz erişim sağlamalarına olanak tanımaktaydı.
Erişim, bir dizi yetkiye ile engellenmektedir ve Apple’ın kendi uygulamaları (Safari gibi) “com.apple.private.tcc.allow” yetkisini kullanarak TCC’yi tamamen atlatabilmekteydi.
Bununla birlikte, kullanıcılar ilk kez bir web sitesini ziyaret edip konum veya kamera erişmek istediğinde, Safari TCC benzeri bir açılır pencere ile erişim için kullanıcı iznini sorar. Bu yetkiler, “~/Library/Safari” dizinindeki çeşitli dosyaların içinde, ilgili web sitesi başlığı altında depolanır.
Microsoft tarafından geliştirilen HM Surf sömürüsü, aşağıdaki adımları gerçekleştirir:
-
- dscl yardımcı programı kullanılarak mevcut kullanıcının ev dizinini değiştirmek (macOS Sonoma’da TCC erişimi gerektirmez)
-
- “~/Library/Safari” altındaki kullanıcıların gerçek ev dizinindeki duyarlı dosyaları (örneğin, PerSitePreferences.db) değiştirmek
-
- Ev dizinini orijinal dizine geri değiştirmek, böylece Safari’nin değiştirilen dosyaları kullanması
-
- Kamerayı kullanarak bir web sayfasını açmak ve konumunu almak için Safari’yi başlatmak
Siber Güvenlik
Microsoft, saldırının, Mac’in mikrofonu aracılığıyla tüm kamera akışını kaydetmek veya gizlice ses yakalamak için kullanabileceğini belirtti. Üçüncü parti, web tarayıcıları, Apple uygulamaları gibi aynı özel yetkilere sahip olmadığı için bu sorundan etkilenmez.
Microsoft, bilinen bir macOS reklam yazılımlı tehdidi olan AdLoad’un muhtemelen bu güvenlik açığını sömürdüğüne dair şüpheli faaliyetlere tanık olduğunu kaydetti. Bu, kullanıcıların en son güncelleştirmeleri gerçekleştirmelerinin önemini vurguladı.
Jonathan Bar Or, “Faaliyetin gerçekleşmesine yol açan adımları gözlemleyemediğimiz için, AdLoad kampanyasının gerçekten HM Surf güvenlik açığını sömürüp sömürmediğini tam olarak belirleyemeyiz” dedi.