Nowe luki w iOS i macOS umożliwiają obejście zabezpieczeń TCC. Nieautoryzowany dostęp do poufnych danych

Apple szybko załatało podatność w najnowszych aktualizacjach systemów, jednak jej odkrycie zwraca uwagę na ciągłe wyzwania związane z zapewnieniem bezpieczeństwa w ekosystemie iOS i macOS.

Krótko o mechanizmie TCC w Apple

Transparency, Consent, and Control (TCC) to mechanizm zabezpieczeń w systemach Apple (iOS i macOS), chroniący prywatność użytkowników. TCC kontroluje dostęp aplikacji do wrażliwych danych, takich jak lokalizacja, kontakty, mikrofon czy kamera. Główne zasady TCC to:

1. Transparency – użytkownik jest informowany, które aplikacje próbują uzyskać dostęp do prywatnych danych.
2. Consent – aplikacje muszą uzyskać zgodę użytkownika na dostęp do tych danych.
3. Control – użytkownik ma pełną kontrolę nad tym, które aplikacje mogą korzystać z jego danych, a ograniczenia dostępu można zmieniać w ustawieniach.

TCC zapewnia, że użytkownicy mają pełną kontrolę nad swoją prywatnością, poprzez możliwość zarządzania, które aplikacje mogą uzyskać dostęp do określonych zasobów.

Szczegóły podatności CVE-2024-44131

Luka oznaczona jako CVE-2024-44131 (ocena CVSS: 5,3) została zidentyfikowana w komponencie FileProvider i dotyczy systemów iOS 18, iPadOS 18 oraz macOS Sequoia 15.

Zgodnie z oświadczeniem Apple problem został rozwiązany dzięki wprowadzeniu ulepszonego sprawdzania poprawności łączy symbolicznych (symlinks).

Luka została odkryta i zgłoszona przez Jamf Threat Labs, które ostrzegło, że może ona zostać wykorzystana do obejścia mechanizmu TCC. Haker mający dostęp do systemu mógłby przechwycić poufne dane użytkowników, takie jak informacje o lokalizacji, kontakty czy zdjęcia, bez ich wiedzy.

Powyższy rysunek przedstawia scenariusz, w którym uprzywilejowany proces ma dostęp do kopiowania plików w folderze aplikacji. Wyróżnione na czerwono nazwy wskazują na dowiązania symboliczne. Stara metoda zabezpieczeń zawiodłaby, ponieważ dowiązanie symboliczne w ścieżce zostałoby wykryte. Nowa technika ataku na dowiązania symboliczne polega na początkowym skopiowaniu niewinnego pliku, co generuje wykrywalny sygnał informujący złośliwy proces, że kopiowanie się rozpoczęło. Następnie, po rozpoczęciu procesu kopiowania, wstawiane jest dowiązanie symboliczne, co pozwala skutecznie obejść wykrywanie dowiązań symbolicznych.

„To obejście TCC pozwala na nieautoryzowany dostęp do plików, folderów, danych Health, mikrofonu, kamery i innych zasobów bez powiadamiania użytkownika” – oświadczyła firma. „Podważa to zaufanie do bezpieczeństwa urządzeń z systemem iOS i naraża dane osobowe na poważne ryzyko”.

Luka umożliwia złośliwej aplikacji działającej w tle przechwytywanie działań użytkownika związanych z kopiowaniem lub przenoszeniem plików w aplikacji Pliki, a następnie przekierowywanie ich do lokalizacji kontrolowanej przez atakującego.

Złośliwe oprogramowanie wykorzystuje podwyższone uprawnienia demona fileproviderd, odpowiedzialnego za operacje na plikach związane z iCloud i zewnętrznymi menedżerami plików w chmurze, by przenieść pliki i następnie przesłać je na zdalny serwer.

Co dzięki temu mogą osiągnąć atakujący?

Atakujący może wykorzystać tę metodę do kopiowania, przenoszenia, a nawet usuwania różnych plików i katalogów w ścieżce „/var/mobile/Library/Mobile Documents/”, aby uzyskać dostęp do danych kopii zapasowej iCloud powiązanych z aplikacjami pierwszej i trzeciej strony, a następnie je wykraść.

Co istotne, luka całkowicie podważa mechanizm TCC, ponieważ nie generuje żadnych monitów dla użytkownika. Typ danych, do których możliwy jest dostęp, zależy od procesu systemowego wykonującego operację na pliku.

„Waga tych luk zależy od uprawnień docelowego procesu” – zauważyli specjaliści Jamf. „Ujawnia to niedoskonałość w egzekwowaniu kontroli dostępu do niektórych typów danych, ponieważ nie wszystkie dane mogą być wyodrębnione bez ostrzeżenia z powodu tego wyścigu warunków”.

Porady i łatki od Apple

Apple zareagowało na odkrycie luki CVE-2024-44131, wprowadzając łatki do systemów iOS 18 i macOS 15. Dla użytkowników końcowych najskuteczniejszym i najszybszym działaniem jest zatem aktualizacja do najnowszych wersji systemu operacyjnego.

Organizacje powinny rozważyć wdrożenie dedykowanych rozwiązań bezpieczeństwa, monitorujących zachowanie aplikacji i zapobiegających nieautoryzowanemu dostępowi do danych. Choć aktualizacje systemu Apple rozwiązują specyficzne problemy bezpieczeństwa, proaktywna ochrona punktów końcowych może skutecznie wykrywać i blokować nietypowe zachowania lub nieprawidłowe żądania, dodatkowo osłaniając przed potencjalnymi zagrożeniami.