MacOS, het besturingssysteem voor Applecomputers, is, als je de weg wist, een tijdje erg gastvrij geweest voor vreemde bezoekers. Niet iedereen kan die gastvrijheid waarderen en Apple heeft het mankement verholpen, maar dat betekent niet dat bij alles Macs de deur op het veiligheidsslot kan. Oudere MacOS-versies dan Monterey, de jonngste versie, zouden nog kwetsbaar kunnen zijn.
Elke keer als je je Mac afsluit krijg je een venster met de vraag of het het zeker weer. In datzelfde venster staat ook een vakje dat je kunt aanklikken dat bij opnieuw aanmelden alle bij sluiting openstaande toepassingen en vensters weer worden geopend. Onderzoekers vonden in die mogelijkheid een lek om zich toegang te verschaffen tot de Mac met omzeiling van de beveiliging die Apple heeft aangelegd.
Via dit lek kan/kon een onbevoegde derde elk bestand op je computer lezen of je webcamera besturen, stelt ontdekker Thijs Alkemade van Computest. Hij zal zijn ontdekking deze week op het Black Hatcongres in Las Vegas presenteren.
Hij ontdekte het lek al in december 2020 en gaf dat door aan Apple via het beloningssysteem van dat bedrijf (om fouten in de programmatuur te ontdekken). Dat schijnt hem geen windeieren te hebben gelegd. Apple heeft sindsdien in een soort tweetrapsaanpak het gat gedicht, in april 2021 en in oktober 2021. Veel informatie over het lek wil het bedrijf niet kwijt.
Volgens Alkemade bevindt (bevond moet ik zeggen voor Monterey; as ) het lek zich in een functionaliteit die al tien jaar geleden door Apple is ontwikkeld. “Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag”, meldt hij in een persbericht van Computest. “Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken. Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies, maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende beveiligingsmaatregelen treffen.”
Oudere MacOS-versies kwetsbaar
Daar komt bij dat het probleem is opgelost voor de huidige versie van MacOS (Monterey), maar niet voor de eerdere versies. De aanvallen zijn niet uitzonderlijk. Alkemade: “Het is vaak mogelijk het procesinjectielek (procesinjectie is een aanvalstype; as) in een bepaalde toepassing op te zoeken, maar het is moeilijk er een te vinden dat algemeen toepasbaar is.”
De kwetsbaarheid zit ‘m dus in die opgeslagen toestand (welke toepassingen en vensters zijn geopend). Dat betekent dat als toepassingen geopend worden ze eerst allerlei bestanden ’tot zich nemen’. Dan hapert de beveiliging, ontdekte Alkemade.
Een aanvaller kan ook zulke bestanden creëren, waarna je computer dingen doet die nooit de bedoeling zijn geweest. en waar de beveiliging niet meer werkt. Alkemade wist ook systeemintegriteitsbescherming te omzeilen, die moet voorkomen dat onbevoegden bestanden wijzigen. Alkemade: “In feite kon ik alle bestanden lezen en bepaalde systeembestanden wijzigen.” Vooralsnog zou er geen bewijs zijn dat dit lek ook is misbruikt. Alkemade wijst er op dat dergelijke problemen zich ook bij het mobiele besturingssysteem van Apple, iOS, zou kunnen voordoen, aangezien die systemen steeds meer op elkaar zijn gaan lijken.
Mij is niet duidelijk hoe Alkemade die bestanden op de aan te vallen computer krijgt (maar dat kan liggen aan mijn leekheid op dit terrein; as) en dus hoe link het lek is.
Bron: Wired