Skip to main content

Даже приложение «Календарь» от Apple может быть уязвимым

Исследователь по безопасности подробно описал старый взлом macOS, который давал хакерам полный доступ к iCloud пользователя, для чего требовалось лишь приглашение в календаре.

В 2022 году исследователь безопасности Микко Кенттала обнаружил уязвимость zero-click в macOS Calendar, которая могла позволить злоумышленникам добавлять или удалять файлы в среде песочницы Calendar. Уязвимость позволяла злоумышленникам выполнять вредоносный код и получать доступ к конфиденциальным данным, хранящимся на устройстве жертвы, включая фотографии iCloud.

Эксплойт начинается с того, что злоумышленник отправляет приглашение в календарь, содержащее вредоносный прикрепленный файл. Имя файла не подвергается должной очистке, что позволяет злоумышленнику выполнить атаку «обхода каталога», то есть он может манипулировать путем файла и размещать его в непреднамеренных местах.

Уязвимость (CVE-2022-46723) позволяет злоумышленникам перезаписывать или удалять файлы в файловой системе приложения «Календарь». Например, если злоумышленник отправит файл с именем «FILENAME=../../../malicious_file.txt», он будет помещен за пределы предполагаемого каталога в более опасное место в файловой системе пользователя.

Атакующие могут еще больше усилить атаку, используя уязвимость произвольной записи файлов. Они могут внедрить вредоносные файлы календаря, предназначенные для выполнения кода при обновлении macOS, в частности с Monterey до Ventura.

Блок-схема, подробно описывающая, как уязвимость произвольной записи файлов может привести к несанкционированному доступу к фотографиям iCloud с помощью различных методов внедрения и установки вредоносного приложения по протоколу SMB.

Полная цепочка эксплойтов

Эти файлы включали события с функциями оповещения, которые срабатывали, когда система обрабатывала данные календаря. Внедренные файлы содержали код для автоматического запуска файлов, таких как изображения .dmg и ярлыки .url, что в конечном итоге приводило к удаленному выполнению кода (RCE).

В конечном итоге злоумышленник может полностью захватить контроль над Mac без ведома или взаимодействия с пользователем.

К счастью, этот взлом не нов. Apple исправила его в нескольких обновлениях с октября 2022 года по сентябрь 2023 года. Эти исправления включали ужесточение разрешений файлов в приложении «Календарь» и добавление дополнительных уровней безопасности для предотвращения эксплойта обхода каталога.

Как защититься от атак с нулевым кликом

Чтобы защитить себя от уязвимостей zero-click, подобных обнаруженной в macOS Calendar, крайне важно соблюдать несколько защитных мер. Прежде всего, всегда обновляйте свое программное обеспечение.

Apple часто выпускает исправления, устраняющие уязвимости безопасности, и включение автоматических обновлений гарантирует, что вы получите критические исправления. Наконец, укрепите настройки безопасности вашего устройства, ограничив доступ приложений к конфиденциальным данным, таким как ваш календарь, фотографии и файлы.