Craig Federighi op ontwikkelcongres van Apple vorig jaar juni (afb: beeld uit YouTube-filmpje)
Apple heeft een goede reputatie op het gebied van digitale veiligheid, maar ook Apple is niet onfeilbaar of zelfs heel erg slordig. Niet zo lang geleden dichtte het bedrijf een modemlek dat zijn oorsprong vond in de mogelijkheid de ene Mac vanaf de andere te bedienen (Remote Access). Dat lek heeft daar 20 jaar gezeten. Nu weer blijkt dat sommige programma’s voor Apple ‘heiliger’ zijn dan andere. Die kunnen, anders dan standaard, gebruik maken van ‘automatische kliks’ om gebruik te mogen maken van bepaalde bevoegdheden. Vorig jaar kondigde Apple juist aan in dit opzicht zoveel mogelijk macht aan de gebruiker te geven, waarbij zijhij persoonlijk, en niet automatisch, bevoegdheden van programma’s moet goedkeuren.Toen vorig jaar Craig Federighi op het ontwikkelaarscongres van Apple aankondigde dat als nieuwe beveiligingsmaatregel in de nieuwe Mojave-versie van het besturingssysteem de gebruiker gedwongen wordt toestemming te geven aan programma’s om toegang te krijgen tot bepaalde toepassingen en gegevens, klonk er een beschaafd applaus. Patrick Wardle, ex-medewerker van de veiligheidsdienst NSA, zag de weerslag van de lezing een paar maanden later en fronste zijn wenkbrauwen. Hij had het jaar daarvoor aangetoond dat je met kwaadaardige programmatuur die veiligheidsprocedure kon omzeilen, niet eens maar twee keer. Die lekken werden door Apple gerepareerd.
Net voor het jongste ontwikkelaarscongres dit jaar (altijd in juni) prikte hij voor de derde keer een gat in die verdedigingslinie. Daarbij maakte hij gebruik van ‘automatische kliks’ om programma’s toegang tot toepassingen en gegevens te verlenen. Bij die procedure hoort de gebruiker de toestemming via het aanvinken van vakjes te geven. Die automatische kliks doen dat op ‘gezag’ van een of ander programma, waar de gebruiker dan geen weet van heeft.
Wardle aan de vooravond van een door hemzelf georganiseerd congres ‘Objective by the Sea’: “Die automatische kliks zijn voor e-krakers belangrijker dan ooit.” Hij vindt dat Apple die zaak slecht heeft aangepakt. “De manier waarop dat bedrijf die heeft ingevoerd is 100% failliet.” Blogger Howard Oakly ontdekte jl. november dat voor Apple niet alle programma’s gelijk zijn. Er is een korte, vreemde lijst van toepassingen waarvoor die expliciete toestemming van de gebruiker niet nodig is, zoals sommige versies van Adobe Dreamweaver (webbouwer), Steam en VLC. Die kunnen die automatische kliks gebruiken zonder dat de gebruiker daarvoor zijn toestemming heeft gegeven.
Vinkjes
Wardle las dat bericht en bedacht hoe hij een kwaadaardig progje kon maken dat hij op die lijst van ‘bevoorrechte’ toepassingen zou kunnen plaatsen. Dat deed hij door een van de bevoorrechte toeps (VLC) te veranderen en MacOS trapte daar in. “Dat is net of je iemands papieren controleert op diens naam maar niet de geldigheid van die papieren.” Zo kon hij de Mac kraken zonder dat de gebruiker de vinkjes krijgt te zien.
Wardle geeft toe dat bij deze kwetsbaarheid een aanval op afstand via het web niet mogelijk is. De e-kraker moet al van afstand toegang hebben tot een Mac of er al een kwaadaardige prog op gezet hebben, maar als dat te regelen is via een ‘hengelbericht (met een besmette koppeling) of een andere kraaktechniek dan krijgt de aanvaller via progjes een diepe toegang tot het belaagde systeem met mogelijkheden tot volledige overname.
Wardle zegt dat hij een week voor onthulling Apple op de hoogte heeft gesteld. Hij geeft tot dat dat wat kort dag was voor Apple om de zaak te herstellen, maar hij zegt gefrustreerd te zijn door Apples achteloosheid. “Mijn aanpak van verantwoordelijke onthulling werkte helemaal niet, dus probeer ik maar wat anders om Apple te inspireren. Waarom testen ze dat soort zaken niet uitgebreid voordat ze die uitbrengen en dan ook nog wel met zoveel aplomb, terwijl die in feite waardeloos zijn?” Volgens Wardle blijft dan alleen nog het verkoopargument voor Apple over. Apple wilde of kon niet reageren op vragen van Wired.
Bron: Wired