Хакеры разрабатывают более сложную кроссплатформенную тактику, чтобы воспользоваться постоянно растущей базой пользователей Mac, и последняя из них нацелена на структуру TCC.
Репутация Mac как надежной системы безопасности является ценным активом и одновременно серьезным недостатком. По мере того, как все больше компаний внедряют эту платформу, она становится все большей мишенью для хакеров.
Архитектура безопасности macOS включает в себя структуру прозрачности, согласия и контроля (TCC), целью которой является защита конфиденциальности пользователей путем контроля разрешений приложений. Однако недавние выводы Interpres Security показывают, что TCC можно манипулировать, чтобы сделать компьютеры Mac уязвимыми для атак.
Платформа TCC управляет разрешениями приложений в macOS для защиты конфиденциальной информации и системных настроек. К сожалению, уязвимости в TCC позволяют получить несанкционированный доступ к системе.
Хакеры все чаще атакуют корпоративных пользователей, таких как разработчики и инженеры, используя такую тактику, как социальная инженерия.
В прошлом у TCC были эксплойты и недостатки, включая прямые модификации своей базы данных и использование слабых мест в защите целостности системы. В предыдущих версиях хакеры могли получить секретные разрешения, получив доступ к файлу TCC.db и изменив его.
Apple представила защиту целостности системы (SIP) для противодействия таким атакам в macOS Sierra, но даже SIP был обойден. Например, в 2023 году Microsoft обнаружила уязвимость macOS, которая могла полностью обойти защиту целостности системы.
Apple решила некоторые из этих проблем с помощью обновлений безопасности, но Interpres Security предупреждает, что злоумышленники, такие как северокорейская Lazarus Group, продолжают концентрироваться на компьютерах Mac в корпоративных средах.
Помимо TCC, потенциальным вектором атаки также является Finder. Finder по умолчанию имеет доступ к полному доступу к диску, но не отображается в разрешениях безопасности и конфиденциальности, оставаясь скрытым от пользователей.
Если доступ к Терминалу предоставлен Finder, он становится постоянным, если только он не будет отозван вручную. Таким образом, злоумышленник может использовать Finder для получения контроля над терминалом и защиты доступа к диску.
Как обезопасить себя от злоупотреблений TCC
Для защиты систем macOS от злоупотреблений TCC можно реализовать конкретные стратегии. Всегда включайте защиту целостности системы и обновляйте операционную систему для устранения уязвимостей.
Кроме того, реализация принципа минимальных привилегий корпоративными ИТ-отделами может ограничить права доступа пользователей и приложений. Это метод обеспечения того, чтобы каждый пользователь имел только те разрешения, которые необходимы для выполнения его работы.
Также крайне важно проводить регулярное обучение по вопросам безопасности, чтобы информировать пользователей о попытках фишинга и других распространенных тактиках, используемых при атаках социальной инженерии. Системы безопасны настолько, насколько безопасно их самое слабое звено, которым обычно является человеческая ошибка.
