去年绕过Apple新推出的macOS隐私功能的安全研究人员再次找到了一种绕过安全警告的新方法,即代表用户执行“综合点击”而无需他们的互动。
去年六月,Apple在MacOS中引入了一项核心安全功能,强制所有应用程序在访问系统上的敏感数据或组件(包括设备摄像头或麦克风,位置)之前必须获得用户的许可(“允许”或“拒绝”)数据,消息和浏览历史记录。
macos
对于那些不知道的人来说,“合成点击”是由软件程序而不是人类生成的程序化和不可见的鼠标点击。
MacOS本身具有合成点击的内置功能,但作为一种辅助功能,残障人士可以非传统方式与系统界面进行交互。
因此,该功能仅适用于Apple批准的应用,可防止恶意应用滥用这些程序化点击。
然而,安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷,它可能允许安装在目标系统上的恶意应用程序虚拟地“点击”安全提示按钮,而无需任何用户交互或实际同意。
尽管苹果公司在公开披露几周后修补了这个问题,但Wardle再一次公开展示了一种新方法,可以让应用程序在没有明确许可的情况下执行“ 综合点击 ”来访问用户的私人数据。
在Mojave上,macOS检查白名单应用程序的完整性的方式存在验证缺陷。操作系统检查应用程序的数字证书是否存在,但无法验证应用程序是否已被篡改。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。