Microsoft обнаружила и раскрыла информацию об уязвимости в фреймворке Apple Transparency, Consent, and Control (TCC), используемом в macOS. Уязвимость, получившая кодовое имя HM Surf и обозначенная как CVE-2024-44133, позволяет обходить настройки конфиденциальности пользователей и получать доступ к их данным.
Проблема была устранена в обновлении macOS Sequoia 15 путём удаления уязвимого кода. Уязвимость позволяла злоумышленникам получить доступ к конфиденциальным данным, включая посещённые веб-страницы, использование камеры, микрофона и местоположения устройства без согласия пользователя. Это достигалось за счёт удаления защиты TCC для директории Safari и изменения конфигурационных файлов.
Microsoft сообщила, что уязвимость затрагивает только Safari, и компания работает с другими производителями браузеров над усилением защиты локальных файлов конфигураций.
Ранее Microsoft обнаруживала подобные уязвимости в macOS, такие как Shrootless, powerdir, Achilles и Migraine, которые также позволяли обходить системы безопасности. В случае HM Surf атака включала изменение домашней директории пользователя и модификацию чувствительных файлов, таких как “PerSitePreferences.db”, что позволяло Safari использовать подменённые данные при запуске.
Safari обладает уникальными правами, позволяющими обходить TCC через привилегии “com.apple.private.tcc.allow”, но также использует механизм Hardened Runtime, затрудняющий выполнение произвольного кода. При этом, как и ранее, при первом запросе доступа к камере или геолокации браузер выводит всплывающее окно для подтверждения.
Microsoft отметила, что эта уязвимость потенциально использовалась в известной кампании по распространению рекламного ПО AdLoad. Однако, из-за отсутствия полной информации о методах атаки, специалисты не смогли подтвердить, использовался ли эксплойт HM Surf непосредственно. Тем не менее, подобные атаки подчёркивают важность своевременного обновления системы безопасности.