标签: macOS

刚发布就出问题 新 macOS 零日漏洞或导致用户数据泄露

凤凰网科技讯 据科技博客AppleInsider北京时间9月25日报道,苹果公司今天向全球用户推送了最新macOS Mojave系统。但是,一位安全研究人员称,新系统包含一个安全保护执行漏洞,可能会导致个人用户数据泄露。 安全公司Digita Security首席研究员帕克里克·瓦德里(Patrick Wardle)对这个明显漏洞进行了介绍。他指出,该漏洞会允许一款无特殊权限的应用绕过系统内建的系统级权限,获取特定应用的用户信息。瓦德里已披露了大量与苹果相关的安全问题,最近的一个是热门Mac应用Adware Doctor秘密记录用户信息。 在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。 瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为“入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。 在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的“通用方法”,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。 他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。 苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。   稿源:凤凰网科技,作者:箫雨,封面源自网络;

macOS 应用被指偷窃和上传浏览记录 大牌开发商也不例外

当您在macOS上授予应用程序访问主目录的权限时,即使它是来自Mac App Store的应用程序,您也应该三思而后行。我们看到了一个来自著名的软件开发商趋势科技的Mac App Store应用程序,它说服用户让他们访问他们的主目录,并带有一些回报,例如免费提供病毒扫描或清理缓存,其背后的真正原因是收集用户数据 – 尤其是浏览历史记录 – 并将其上传到其分析服务器。 用户在Malwarebytes论坛和另一份报告中报告了此问题。其他研究人员随后发现,Mac App Store上“趋势科技”发布的应用程序收集并将用户的Safari、Chrome和Firefox浏览器历史记录上传到他们的服务器。该应用程序还将收集有关系统上安装的其他应用程序的信息,所有这些信息都是在启动应用程序时收集的,然后创建一个zip文件并将其上传到人员的服务器。 这款应用程序的名称叫“Dr. Unarchiver”,在使用应用程序解压缩zip文件后,它提供了“快速清理垃圾文件”选项。选择“扫描”会启动一个打开的对话框,其中选择了主目录,这就是应用程序访问用户主目录的方式,以便从浏览器中收集历史文件。在允许访问主目录后,应用程序继续收集私有数据并将其上传到他们的服务器(我们使用代理阻止了该数据)。以下是分析这款软件行为的截屏: 检查应用程序存档并分析上传到其服务器的文件,显示其确实偷窃了Safari,Google Chrome和Firefox的完整浏览器历史记录,甚至还单独保留了用户最近在Google搜索记录的单独文件以及包含所有已安装应用程序的完整列表的文件,包括有关它们是从何处下载的信息,是否是64位兼容的以及它们的代码签名。 截至今日,“Dr. Unarchiver”是美国Mac App Store中第12个最受欢迎的免费应用程序,这产生了一个巨大的隐私问题,但App Store的审核流程却并没有抓住这些做法,导致侵犯用户隐私的应用程序肆虐。虽然苹果正在通过macOS Mojave改善这种情况。   稿源:cnBeta,封面源自网络;

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

新浪科技讯 北京时间6月19日下午消息,一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“The Hacker News”注意到。 Regula指出,苹果的“快速查看”机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问。这个功能允许Mac用户快速地通过敲击空格键以预览上述提及信息。跟以来专门的应用不一样(比如预览PDF文件的Acrobat等),macOS可以使用OS技术“快速查看”文件。 “快速查看”的文件处理方式,这个问题在8年前就已经提到过。苹果的这个功能把缩略图缓存在未经加密的驱动其上,意味着源文件的碎片——哪怕是保存在加密存储器上的那些文件——也可能暴露在别有用心的人眼下。 “这意味着,所有你通过空格键(或用快速查看独立缓存过的)预览过的照片都作为缩略图,连同其存储路径,一并保存在该目录下,”Regula写道。 为验证其说法,Regula创建了一个概念证明,其中两个图像分别保存在两个独立的加密容器内,一个以VeraCrypt创建,另一个以macOS的加密HFS+/APES创建。研究员可以通过一个简单的指令找到这两个图像并他们各自的路径,反过来提供了原文件的微缩版本访问权限。 Wardle补充说,“快速查看”的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。他进一步指出,尽管“快速查看”漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或执法机构利用。 也就是说,苹果对这个问题进行修补其实相对容易。Wardle表示,苹果可以降级“快速查看”预览到位于外部加密容器上的文件,或者,也可以在卸载卷的时候清楚缩略图缓存。 在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除“快速预览”缓存。   稿源:新浪科技,封面源自网络;

苹果公布 macOS Mojave 即将更新的隐私和安全保护特性详情

在WWDC期间,苹果在面向开发者的主题日活动Platforms State of the Union Event中,公布了更多关于将在 macOS Mojave中出现的隐私和安全保护特性的详情。首先,苹果将隐私保护手段扩展至相机、话筒及各类敏感用户数据-包括邮件数据、消息历史、Safari数据、时间机器备份、iTunes的设备、定位和连线、系统Cookies等等。 在macOS Majave中,应用所有的API和对资源的直接访问都会需要请求用户的准许,用户也能够直接通过系统偏好设置访问它们的安全偏好设定。 对于不通过Mac App Store分发安装的应用,除了需要者签名。苹果还将在新系统中引入Notarize的认证评估程序,旨在更快速地检测恶意软件,并且为苹果提供更加细致的认证撤销工具。公证化进程将让macOS Mojave能够保证第三方非App Store下载的mac应用能够经过苹果双重认证,并且不包含恶意代码。苹果还将要求所有的开发者签名Developer ID应用经过该过程才能进行安装。 苹果还介绍了最强的运行时保护机制,延申系统完整性保护措施,确保代码注入和其它恶意行为不会破坏系统完整性。macOS Mojave还将分别标记重复创建的密码、让用户能够创建更加独特的密码。此外Safari还将加入多重反追踪和隐私改进措施让浏览习惯保持隐秘。   稿源:cnBeta,封面源自网络;

前 NSA 黑客发布 DND 应用:帮 Mac 用户抵御邪恶女佣攻击

前美国国家安全局(NSA)黑客近日面向苹果的 macOS 系统推出了一款名为“ Do Not Disturb (DND) ”的安全应用,声称能够帮助你的 Mac 抵御“邪恶女佣攻击”(Evil Maid Attack)。这款安全应用同时也是免费和开源的,这款应用只做一件事情:监听 Mac 后台是否存在“ lid open ”事件,避免你不在的时候有人通过物理方式获取你的机密信息。 开发者解释道:“Do Not Disturb (DND)应用能够持续监听你的系统事件,检测是否受到 Evil Maid Attack。尤其这款应用会监听 ‘lid open’ 事件。如果你关闭了笔记本(因此会触发睡眠模式),为了达到入侵成功的目的,黑客往往需要打开屏幕进行物理操作。” Do Not Disturb (DND) 能够检测通过 USB 或者 Thunderbolt 端口插入 Mac 的设备,检测是否有后台应用偷偷使用摄像头等等,并修复了 “I Am Root” 漏洞。 稿源:cnBeta,封面源自网络;

调查显示 macOS 恶意软件数量去年增加了 270%

之前人们普遍认为 MacOS 是 Windows 10 的安全替代品,因为 Apple 的操作系统不会受到病毒的感染。就安全性而言,Windows 和 MacOS 的安全性之争现在已经不再那么有意义了,因为两个平台都受到越来越多的恶意软件的攻击。 根据 Malwarebytes 安全报告显示,去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%,并且今年年初发现了一共四个不同的重大安全漏洞。换句话说,MacOS 恶意软件在 2018 年的发展有可能持续增长,用户需要更加关注他们的网络安全。 Malwarebytes 以 OSX.MaMi 恶意软件为例,这种恶意软件试图引导用户互联网流量到钓鱼网站,并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot 再次损害 MacOS 的安全性,正在运行苹果桌面操作系统的用户应该更加谨慎针,不要从不受信任的来源打开内容或访问他们不知道的网站。 Malwarebytes 表示,普通的 Mac 用户无法抵御恶意软件感染,更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性,因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此,苹果有望减少对新功能的关注,并花更多时间提升安全性和性能。 稿源:cnBeta,封面源自网络  

专家披露 IOHIDSystem macOS 内核任意读写漏洞 POC

据外媒 1 月 1 日报道,研究苹果 iOS 操作系统的安全人员 Siguza 公布了 macOS 中一个未被修复的 0day 的 POC 细节:攻击者可以利用该漏洞访问系统、执行任意代码以及获得 root 权限。该漏洞会影响 macOS 的所有版本,可能导致内核中出现任意读/写的问题,同时也使得黑客能够禁用系统完整性保护(SIP)和 Apple 移动文件完整性(AMFI)安全功能。 安全研究员 Siguza 在试图破解 iOS 内核漏洞时注意到 IOHIDFamily,这是一种为人机界面设备( HID )设计的内核扩展,比如触摸屏或按钮。 目前 Siguza 公布的开发和概念证明(POC)代码只适用于 macOS High Sierra 10.13.1 及更早版本,但研究人员认为可以将该代码调整到适用于苹果 12 月 6 日发布的最新版本 10.13.2 。 专家认为,至少从 2002 年起这个漏洞就已经存在,但是一些线索表明漏洞潜藏时间至少 10-15 年。 值得注意的是,有些研究人员认为公开 POC 会使 macOS 用户面临被攻击的风险, 但 Siguza 认为事实并非如此。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

网友曝料 macOS 登陆漏洞至少已存在数周,苹果当时未引起重视

11 月 28 日安全专家曝出了macOS High Sierra 10.13 存在严重安全威胁,即 root 账号密码为空的登陆漏洞,幸亏苹果第一时间就推送 macOS 安全更新,修复了root 账号登陆漏洞。其实在 11 月中旬有人就在苹果开发者论坛提到过相关问题,当时苹果可能并未引起重视。一位网友 Ergin 发布 Medium 读推分享了一则故事:“一周前我工作公司的 IT 员工在帮助我同事恢复本地管理员账号的时候,就发现了这一故障,他利用这一漏洞迅速恢复了账号权限。到了 11 月 23 日,公司的 IT 部门通知了苹果这一问题。他们还在苹果开发论坛上搜索了相关故障,发现在 11 月 13 日时就有人提到类似漏洞。但苹果并没有注意到。” Ergin 提到的苹果开发论坛相关故障报告帖实际上在 6 月 8 日就被发起了,一名用户在 WWDC 后更新至 macOS High Sierra beta 测试版本,他不明白为什么自己的管理员账号会变成标准账号。 许多用户也反映遇到了相同的问题。而在 11 月 13 日,chethan177 网友回复了这个帖子,提供了一个解决方案,并利用了 root 登陆账户密码空白的漏洞。这意味着这一漏洞被人发现已经至少有两周了,但并没有引起苹果和公众的注意。 随后,chethan177 网友再次回复了这一帖子,称他当时并不知道这其实是一个安全漏洞,一切似乎只是巧合。他此前遭遇了更改 Apple ID 后,管理员账户莫名其妙变成普通账户的问题。他在苹果论坛上搜索了好久,尝试了所有方法都没奏效。在极度的失望下,自己居然发现只要把账号名变成 ROOT,并且把密码留空就能得到最高权限。然后他恢复了自己账号的管理员权限,并且没有意识到这是一个安全漏洞。所以也没有向苹果报告。 稿源:cnBeta,封面源自网络;

2017-001 补丁更新后 macOS 又出文件共享问题,苹果紧急发布应对方案

苹果 1 1月 30 日凌晨推送 macOS 安全更新,修复了 root 登陆漏洞。但随后不久,有用户发现更新安全补丁后系统的文件共享出现问题,安装苹果推送的安全更新 2017-001 Security Update for macOS High Sierra 10.13.1 ,多台 Mac 间文件共享认证失败,苹果紧急应对给出解决方案。 安装补丁后发现文件共享认证失败,多台 Mac 上都发现这个问题。打开一个其他 Mac (安装了补丁)分享的文件,当试着连接时,用户名和密码失败。 根据苹果给出的支持文件显示,在安装安全更新后出现无法访问共享文件的 macOS High Sierra 用户请参照以下步骤: 1、打开终端,在应用程序文件夹下的实用工具文件夹; 2、输入 sudo /usr/libexec/configureLocalKDC 并回车; 3、输入管理员密码并回车; 4、退出终端。经测试后,苹果的方法可以应对处理文件共享认证失败。虽然以后还是可能存在一系列的问题,但苹果相信一定会通过 macOS High Sierra 10.13.2 彻底解决。 稿源:cnBeta,封面源自网络;

供应链攻击又一例:Mac 专用 Elmedia 播放器和下载管理器 Folx 最新版本感染 OSX.Proper 恶意软件

HackerNews.cc 10 月 21 日消息,网络安全公司 ESET 研究人员近期发现 macOS 平台下的 Elmedia Player 与 Folx 两款应用程序已被植入恶意软件 Proton,旨在窃取目标用户敏感信息后擦除系统访问记录。 恶意软件 Proton 是一款远程访问木马,其最早可追溯至 2016 年,被发现在网络犯罪论坛高价出售。调查显示,该恶意软件具备多种功能,其中包括执行控制台命令、访问用户网络摄像头、击键记录、捕获屏幕截图和打开 SSH / VNC 远程连接。此外,Proton 还可以在用户的浏览器中注入恶意代码,以显示弹出窗口、询问受害者信息,例如信用卡账号及登录凭证等。 值得注意的是,该恶意软件可能会侵入受害者的 iCloud 帐户,即使用户开启了双因素身份验证。知情人士透露,Proton 于三月的售价就已高达 50,000 美元。据悉,ESET 在发现该恶意软件后及时上报至 Elmedia 并帮助其迅速展开补救措施。 研究人员表示,如果用户于 10 月 19 日之前下载了 Elmedia Player 或 Folx 程序,其系统可能会受到影响。不过,用户可对以下文件和目录进行扫描,以检查自身设备安装是否存在恶意软件: /tmp/Updater.app/ /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist /Library/.rand/ /Library/.rand/updateragent.app/ 如果上述任何一份文件或目录受到感染,其恶意软件可以规避受害设备的杀毒软件进行分发传播。目前,Eltima 研究人员表示,受害用户只能通过重新安装系统,才可消除此类感染。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接