- V aplikacích od Microsoftu se ukrývá chyba, která umožňuje sledování uživatelů macOS
- Výzkumní pracovníci identifikovali v Excelu, PowerPointu, Wordu a Outlooku osm různých zranitelností
- Microsoft považuje riziko zneužití za nízké
Operační systém macOS od Applu obecně platí za docela bezpečný. Gigant z Cupertina v jeho případě drží otěže poměrně zkrátka, tudíž dostat do svého zařízení nějaký škodlivý kód není úplně jednoduché. Problém nastává v případě, kdy se uživatelé rozhodnou využívat aplikace třetích stran, které mohou obsahovat zranitelnosti, na které je Apple krátký. Týkat se to přitom nemusí jen obskurních programů od malých vývojářů, ale klidně i velkých nadnárodních korporací.
Skrze Word nebo PowerPoint vás mohou hackeři šmírovat
Zranitelnost nalezená v aplikacích Microsoftu pro macOS umožnila hackerům špehovat uživatele Maců. Bezpečnostní pracovníci ze společnosti Cisco Talos informovali o tom, jak mohli útočníci zranitelnost zneužít a co Microsoft dělá pro její opravu. Skupina Cisco Talos, která se specializuje na kybernetickou bezpečnost a prevenci šíření malwaru, sdílela podrobnosti o tom, jak zranitelnost v aplikacích jako Microsoft Outlook a Teams může vést k tomu, že útočníci získají přístup k mikrofonu a kameře počítače Mac bez souhlasu uživatele. Útok je založen na vložení škodlivých knihoven do aplikací Microsoftu a získání jejich oprávnění a oprávnění udělených uživateli.
Systém macOS má framework známý jako Transparency Consent and Control (TCC), který spravuje oprávnění aplikací k přístupu například ke službám určování polohy, fotoaparátu, mikrofonu, fotografiím v knihovně a dalším souborům. Každá aplikace potřebuje povolení, aby si mohla vyžádat oprávnění od TCC. Zneužití však umožnilo škodlivému softwaru využívat oprávnění udělená aplikacím společnosti Microsoft.
„V různých aplikacích společnosti Microsoft pro systém macOS jsme identifikovali osm zranitelností, pomocí kterých mohl útočník obejít model oprávnění operačního systému tím, že použil stávající oprávnění aplikace, aniž by uživatele vyzval k dalšímu ověření,“ vysvětlují výzkumníci. Hacker by například mohl vytvořit škodlivý software, který by nahrával zvuk z mikrofonu, nebo dokonce pořizoval fotografie bez jakékoli interakce uživatele. „Všechny aplikace, s výjimkou Excelu, mají možnost nahrávat zvuk a některé mohou mít dokonce přístup k fotoaparátu,“ dodává skupina.
Podle Cisco Talos nepovažuje Microsoft riziko zneužití této chyby za vysoké, protože se spoléhá na načítání nepodepsaných knihoven pro podporu zásuvných modulů třetích stran. Po nahlášení nicméně Microsoft aktualizoval aplikace Teams a OneNote pro systém macOS a změnil způsob, jakým tyto aplikace zpracovávají oprávnění k ověřování knihoven. Aplikace Excel, PowerPoint, Word a Outlook jsou však vůči tomuto exploitu stále zranitelné.
