Durante o dia de ontem, na conferência de hackers Defcon em Las Vegas, o especialista em segurança informática, Patrick Wardle apresentou uma série de ataques ao sistema operativo macOS da Apple e que tiram partido de “cliques sintáticos”. Isto permite, por exemplo, a passagem de malware através das caixas de permissão ou alertas que aparecem ao utilizador e que devem bloquear a passagem deste tipo de software.
Estas interações com a interface do utilizador podem conduzir a graves falhas de segurança no sistema macOS e a que os atacantes dominem o sistema operativo ao nível do Kernel. Venha descobrir mais.
Eventos são caracterizados como sintéticos quando os atacantes são capazes de clicar virtualmente nos objetos que aparecem no ecrã de forma a colocar código no computador sem a permissão do utilizador.
Assim, a interface gráfica pode ser um ponto inicial a partir do qual todo o sistema é corrompido. Se alguém possuir uma forma artificial de interagir com os alertas que aparecem no ecrã do utilizador, então passa a existir uma forma muito poderosa de dar a volta aos mecanismos de segurança existentes.
Esta falha de segurança no macOS permite que código sem quaisquer privilégios interaja com a interface gráfica. Esta vulnerabilidade está presente em todas as verões do macOS até à High Sierra e permite acesso a aplicações sensíveis, como por exemplo, o Keychain que contem as palavras-passe dos utilizadores.
A Apple sabe que os cliques sintéticos são uma forma de ataque aos seus computadores e já lançou uma atualização chamada “User Assisted Kernel Extension Loading” (Kext) para tentar lidar com este tipo de ataques. No entanto, Patrick Wardle diz que ainda assim, passar pela extensão de segurança da Apple é trivial.
O problema persiste e pode ser encontrado na forma como o macOS aprova ou rejeita os cliques sintéticos. Os cliques sintéticos possuem um comando “down” que significa carregar para baixo no rato e um comando “up” que corresponde a largar o rato.
Wardle contou aos presentes na conferência de ontem que esta última descoberta foi acidental e que ocorreu quando fez “copiar -> colar” de uma porção de código que, sem ele querer, clicava para baixo duas vezes no rato sintético.
Quando dois eventos “para baixo” ocorrem o macOS está, misteriosamente, a interpretar o segundo “down” como “up”, completando assim o clique e que compromete a segurança do sistema.
Duas linhas de código quebram as proteções de segurança completamente. Não cabe na cabeça como é que um ataque tão simples é bem sucedido.
| Patrick Wardle
Ataques silenciosos como este são muito perigosos pois, o utilizador não se apercebe do que está a acontecer enquanto o atacante ganha cada vez mais controlo sobre a máquina. De acordo com o investigador, a próxima versão do macOS, Mojave, irá bloquear completamente os eventos sintéticos. Deste modo, mal esteja disponível, deve atualizar para esta versão do sistema operativo da Apple