标签: macOS

Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的  配置文件  以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型恶意软件 Tarmac 被发现针对 MacOS 用户

安全研究人员发现了一种新的Mac恶意软件,然而它的目的和功能目前仍然是一个谜。 这款恶意软件名为Tarmac(OSX / Tarmac),其通过在Mac用户的浏览器中运行恶意代码,将用户重定向到某个软件的更新页面——通常是Adobe的Flash Player。 在用户下载Flash Player更新的同时,其系统将会安装恶意软件二人组-首先是OSX / Shlayer恶意软件,然后是第一个启动的OSX / Tarmac。 自2019年1月开始传播 Confiant的安全研究人员Taha Karim表示,这次散播Shlayer + Tarmac组合的恶意活动始于今年1月。 Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是,他们只发现了Shlayer恶意软件,而没有发现Tarmac。 目前已经确定的Tarmac版本都比较旧,并且原始命令和控制服务器已关闭——或者已经被迁移。 Shlayer 会在受感染的主机上下载并安装 Tarmac。Tarmac 会收集有关受害者硬件设置的详细信息,并将此信息发送到其命令和控制服务器。 之后,Tarmac将等待新命令。但是由于服务器不可用,所以无法确定在这之后会发生什么。 从理论上讲,大多数恶意软件都非常强大,具有许多侵入性功能,Tarmac 也应该会造成巨大的威胁。但是目前一切都还只是谜。   主要受影响用户位于美国,意大利和日本 Karim 表示,分发 Shlayer 和 Tarmac 的恶意广告主要针对的是美国,意大利和日本的用户。 由于 Tarmac 的 payload 具有合法的 Apple 开发证书签名,因此 Gatekeeper 和 XProtect 不会在安装过程中报错或者中止。 如果用户想要查看自己的 Mac 系统是否受到此恶意软件感染,可以在Karim的Tarmac报告中寻找IoC。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

macOS 门禁功能爆出安全漏洞:可安装恶意程序

门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道,这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。 当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时,macOS 会检查 Developer ID 签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave,开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。 该漏洞由安全专家Filippo Cavallarin首先发现,主要利用了Mac的两项功能:automount和Gatekeeper。正如外媒Tom’s Guide报道,Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核,但是对于从本地存储设备(通过automount安装)授予文件安全通道,不经过详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘,从而绕过正常的筛选协议。 Cavallarin表示已经于今年2月份向苹果方面反馈并于5月24日发布了详细信息,但是这个尚未得到修复解决。随附的OSX / Linker恶意软件会试图劫持Mac,从而让计算机从事任何恶意活动,包括加密货币挖掘和数据窃取。 该代码已上传四次到VirusTotal,后者是一个研究人员用于检测和共享恶意软件样本的存储库。目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载,相对容易能够避免OSX/Linker恶意软件。   (稿源:cnBeta,封面源自网络。)

macOS Catalina 应用将需要通过认证 否则会被 Gatekeeper 阻止

在北京时间今天凌晨的 WWDC 2019 主题演讲期间,苹果宣布了新版 macOS 操作系统的正式名称 —— Catalina 。作为一次重大的系统升级,其对应用开发者也提出了更高的要求。如果你想要打造支持 macOS Catalina 的应用程序,必须交由苹果进行一系列安全认证,否则会在默认情况下被阻止运行。 (题图 via Apple Insider) 据悉,这项新措施是现有的 Gatekeeper 流程的进一步延伸,开发者们可以按需提交他们的应用程序。 对于用户来说,此举可确保他们下载的软件源码与认证版本完全一致。苹果在开发者网站上写到: 使用开发者 ID 签名的 Mac 应用程序、安装包、内核扩展,都必须交由苹果进行安全认证,才能在 macOS Catalina 上运行”。 通过展示更精简的 Gatekeeper 页面,有助于用户更有信心地运行其下载的软件。无论其从何处获取,都能够确保不遇到恶意软件。 据悉,注册开发者可以向苹果发送自己打造的软件,系统会执行自动扫描,来检查是否存在恶意代码或其它潜在的安全问题。 需要指出的是,对于 App Store 内上架的应用程序,苹果早就在执行类似的安全检查流程。 其实在去年的开发者大会(WWDC 2018)上,苹果就已经宣布了 Notarized Apps,只是现在提出了更严格的强制性要求。 最后,WWDC 2019 上宣布的 macOS Catalina,其 beta 测试版本已经可被开发者访问。如果一切顺利,正式版本会在今年秋季到来。   (稿源:cnBeta,封面源自网络。)

macOS 被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。 Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。 视频:https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   (稿源:cnBeta,封面源自网络。)

macOS 被曝内核存在高危漏洞

谷歌 Project Zero 团队曝光了 macOS 内核中存在的一个写时复制高危漏洞。 macOS 的内核 XNU 在某些情况下允许写时复制(copy-on-write,COW)行为,COW 是一种本质上没有缺陷的资源管理技术,它有一个重要的作用是可以保护复制的内存以防后续通过源程序修改,避免源进程被利用双读。但是在 macOS 这里 COW 似乎出了问题。 研究人员表示,这种写时复制行为不仅适用于匿名内存,也适用于文件映射。这意味着,目标进程开始从转储存储区读取后,内存压力会导致保持转储内存的页面从页面缓存中被逐出。而被逐出的页面需要再次使用时,可以从后台文件系统重新加载。 macOS 允许普通用户挂载文件系统镜像,而如果修改用户已挂载文件系统镜像,该行为并不会被通知给虚拟管理子系统。也就是说攻击者可以在不发出通知的情况下改变磁盘文件虚拟管理子系统。 详细的概念验证可以查看: https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q= 谷歌的 Project Zero 团队以发现各个公司产品的安全漏洞而闻名,其成员在软件中找到安全漏洞,私下向制造商报告,并在公开披露之前给他们 90 天的时间来解决问题。据 neowin 网站介绍,此次关于 macOS 的这个漏洞,团队发现于 2018 年 11 月,但是 90 天内苹果公司并未作出回应,于是研究人员将其公开。目前苹果已经着手与 Project Zero 联合开发相应补丁。     (稿源:开源中国社区,封面源自网络。)

发现 macOS 钥匙串漏洞的 18 岁少年决定向苹果公布所有细节

在没有获得苹果任何报酬的情况下,Linus Henze还是决定向苹果公司提交有关在macOS钥匙串(Keychain)安全软件中发现的严重BUG。之前他选择隐藏该BUG细节,以抗议苹果为何不为macOS平台启动Bug Bounty悬赏活动,不过现在他认为这个问题实在是太严重了,决定不能自己私藏。 尽管苹果公司忽视了他之前提出的所有条件,2月初这位来自德国的18岁年轻人还是向苹果展示了钥匙串安全漏洞的全部细节。Henze表示他已经决定向苹果公司透露所有细节,因为他发现这个错误非常关键,并表示因为macOS用户的安全对于他来说非常重要。 在2月上旬公布的演示中,别有用心的攻击者可以在没有管理员权限(或管理员密码)的情况下,利用该漏洞收集Mac设备上的所有敏感数据。此前在接受《福布斯》采访表示,查找漏洞费心费力,向研究者支付酬劳是天经地义的,因为我们在帮助苹果公司的产品变得更加安全。 据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。2月5日,他在发给苹果的一封电子邮件中表示:“如果苹果官方向我讲述为何苹果并不希望为macOS创建BUG Bounty计划的原因,我愿意立即向你提交完整的详细信息,包括补丁。” 2月8日,他再次向苹果发送电子邮件,重新陈述自己的情况,但似乎没有回应。     (稿源:cnBeta,封面源自网络。)

安全专家发出警告:黑客正在测试感染 Mac 的新方法

趋势科技发出警告,黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性,将包含恶意软件的可执行文件部署到受害者的计算机上。据悉,这家安全企业是在分析 Little Snitch 时,发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为,黑客仍在研究恶意软件及其使用方式。 需要指出的是,Mac 用户无法安装 EXE 文件,这是 Windows 使用的可执行文件格式。如果 macOS 用户尝试安装 EXE 文件,那他们将看到一条错误提示。 然而黑客似乎已经找到了这个问题(尤其是攻破 Gatekeeper)的解决办法 —— 将 EXE 文件打包在 DMG 文件中(后者是 Mac 上的应用程序封装格式)。 趋势科技在报告中指出,自家安全研究人员在野外发现了其中一种恶意软件。它能够绕过 Gatekeeper,因其只检查和验证 macOS 上的本机文件。 在对 Little Snitch Setup.dmg 安装程序进行分析后,我们发现其中包含了 EXE 格式的可执行文件。 不过,目前在未发现与恶意软件相关的特定攻击模式,大多数感染发生在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国地区。 由于 EXE 文件无法在 macOS 上运行,因此攻击者需要将之与 Mono 捆绑在一起。后者是一个免费框架,可让 Mac 用户运行 Windows 可执行文件。 据悉,在感染系统之后,恶意软件能够收集大量数据,包括已安装的其它应用程序、型号、名称等内容。最终,研究人员指出: 这类恶意软件是专门针对 macOS 用户设计的,因为当尝试在 Windows 上运行恶意软件时,反而会发生错误。 对此,我们的建议依然是 —— 避免从未经验证的来源下载软件和其它文件、并在 Mac 上启用多层防护。   稿源:cnBeta,封面源自网络;

刚发布就出问题 新 macOS 零日漏洞或导致用户数据泄露

凤凰网科技讯 据科技博客AppleInsider北京时间9月25日报道,苹果公司今天向全球用户推送了最新macOS Mojave系统。但是,一位安全研究人员称,新系统包含一个安全保护执行漏洞,可能会导致个人用户数据泄露。 安全公司Digita Security首席研究员帕克里克·瓦德里(Patrick Wardle)对这个明显漏洞进行了介绍。他指出,该漏洞会允许一款无特殊权限的应用绕过系统内建的系统级权限,获取特定应用的用户信息。瓦德里已披露了大量与苹果相关的安全问题,最近的一个是热门Mac应用Adware Doctor秘密记录用户信息。 在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。 瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为“入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。 在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的“通用方法”,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。 他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。 苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。   稿源:凤凰网科技,作者:箫雨,封面源自网络;

macOS 应用被指偷窃和上传浏览记录 大牌开发商也不例外

当您在macOS上授予应用程序访问主目录的权限时,即使它是来自Mac App Store的应用程序,您也应该三思而后行。我们看到了一个来自著名的软件开发商趋势科技的Mac App Store应用程序,它说服用户让他们访问他们的主目录,并带有一些回报,例如免费提供病毒扫描或清理缓存,其背后的真正原因是收集用户数据 – 尤其是浏览历史记录 – 并将其上传到其分析服务器。 用户在Malwarebytes论坛和另一份报告中报告了此问题。其他研究人员随后发现,Mac App Store上“趋势科技”发布的应用程序收集并将用户的Safari、Chrome和Firefox浏览器历史记录上传到他们的服务器。该应用程序还将收集有关系统上安装的其他应用程序的信息,所有这些信息都是在启动应用程序时收集的,然后创建一个zip文件并将其上传到人员的服务器。 这款应用程序的名称叫“Dr. Unarchiver”,在使用应用程序解压缩zip文件后,它提供了“快速清理垃圾文件”选项。选择“扫描”会启动一个打开的对话框,其中选择了主目录,这就是应用程序访问用户主目录的方式,以便从浏览器中收集历史文件。在允许访问主目录后,应用程序继续收集私有数据并将其上传到他们的服务器(我们使用代理阻止了该数据)。以下是分析这款软件行为的截屏: 检查应用程序存档并分析上传到其服务器的文件,显示其确实偷窃了Safari,Google Chrome和Firefox的完整浏览器历史记录,甚至还单独保留了用户最近在Google搜索记录的单独文件以及包含所有已安装应用程序的完整列表的文件,包括有关它们是从何处下载的信息,是否是64位兼容的以及它们的代码签名。 截至今日,“Dr. Unarchiver”是美国Mac App Store中第12个最受欢迎的免费应用程序,这产生了一个巨大的隐私问题,但App Store的审核流程却并没有抓住这些做法,导致侵犯用户隐私的应用程序肆虐。虽然苹果正在通过macOS Mojave改善这种情况。   稿源:cnBeta,封面源自网络;