Una recente scoperta dei ricercatori di sicurezza di Cisco Talos ha rivelato una grave vulnerabilità nelle app Microsoft per macOS, come Outlook e Teams, che ha permesso agli hacker di accedere a microfoni e telecamere dei Mac senza il consenso degli utenti. Questo exploit sfrutta le librerie malevole iniettate nelle app Microsoft per ottenere i permessi necessari per attivare tali dispositivi, mettendo così a rischio la privacy degli utenti.
Il gruppo di sicurezza Cisco Talos, specializzato nella prevenzione di malware e sistemi, ha spiegato in un post sul blog come questa vulnerabilità possa essere utilizzata per attaccare i Mac. Il problema riguarda il framework di macOS chiamato Transparency Consent and Control (TCC), che gestisce le autorizzazioni delle app per accedere a servizi come la posizione, la fotocamera, il microfono e altri file sensibili.
In macOS, ogni app necessita di un “entitlement” per richiedere permessi dal TCC. Le app senza questi permessi non possono accedere a dispositivi come la fotocamera o il microfono. Tuttavia, l’exploit scoperto consente a software dannoso di sfruttare i permessi già concessi alle app Microsoft, senza dover richiedere ulteriori autorizzazioni all’utente.
I ricercatori hanno identificato otto vulnerabilità in diverse applicazioni Microsoft per macOS, attraverso le quali un attaccante potrebbe bypassare il modello di permessi del sistema operativo utilizzando i permessi già concessi alle app senza richiedere alcuna verifica aggiuntiva all’utente. Ciò significa che un hacker potrebbe, ad esempio, creare un software malevolo per registrare audio dal microfono o scattare foto senza alcuna interazione da parte dell’utente.
Cisco Talos ha riferito che Microsoft considera questo exploit a “basso rischio”, poiché si basa sul caricamento di librerie non firmate per supportare plugin di terze parti. Dopo la segnalazione degli exploit, l’azienda ha aggiornato le app Microsoft Teams e OneNote per macOS modificando il modo in cui gestiscono la convalida delle librerie. Tuttavia, applicazioni come Excel, PowerPoint, Word e Outlook rimangono ancora vulnerabili all’exploit.
I ricercatori hanno anche sollevato dubbi sulla necessità di Microsoft di disabilitare la convalida delle librerie, soprattutto quando non è previsto il caricamento di librerie aggiuntive. In questo modo, Microsoft sta bypassando le protezioni offerte dall’ambiente runtime rinforzato, esponendo potenzialmente gli utenti a rischi inutili.
Oltre a Microsoft, Cisco Talos suggerisce che Apple potrebbe implementare modifiche al sistema TCC per rendere il sistema più sicuro. Una proposta è che il sistema chieda conferma agli utenti ogni volta che si caricano plugin di terze parti in app che hanno già ottenuto permessi.
Leggi o Aggiungi Commenti