Hacker descobre ação que burla pedido de acesso no macOS

Um tipo de malware tem a capacidade de se esconder e passar por avisos muito específicos do macOS, sobrepondo o sistema de segurança da Apple. Em apresentação no Defcon, um ex-hacker da Segurança Nacional mostrou esta falha de defesa do sistema operacional de Macs.

Patrick Wardle apresentou na conferência para hackers que um tipo específico de malware poderia evitar um sistema de segurança da Apple. Acontece que a fabricante criou um mecanismo que alerta quando uma ameaça é detectada. Assim, quando há uma ação potencialmente perigosa, o macOS bloqueia e pergunta ao usuário se ele permite que tal programa possa acessar áreas específicas do computador.

O que este malware faz é burlar esta parte. Chamado de “synthetic click” (ou clique sintético, em tradução livre), o programa consegue ou ignorar este aviso, ou até mesmo criar formas de tomar esta decisão pelo usuário.

Por exemplo, caso um malware precise acessar as pastas de arquivos do computador, o macOS vai reconhecer como uma ameaça, bloquear e perguntar ao usuário se ele permite acesso a tais pastas. O que a ação synthetic click faz é interagir com este pop up e por si só permitir esta ação.

A Apple havia criado um sistema na versões mais recentes do macOS exigindo que o usuário clicasse efetivamente nestas permissões cada vez que instalasse um novo app, mesmo se fosse uma ameaça ou não. Contudo, com este mecanismo, o sistema continua exposto.

Um dos métodos usados para isso, segundo Wardle, é que o macOS tem uma ferramenta que transforma teclado em mouse, sendo possível mover a seta pela tela usado apenas teclas como numéricas, por exemplo. Com isso, um programa consegue ainda enganar o sistema de segurança e clicar no OK para entrar no computador da pessoa.

Após informar a Apple disso, houve mais uma atualização do sistema que eliminava esta função no momento que o usuário era questionado sobre dar ou não acesso a um programa.

Tal mudança deveria ter resolvido o problema. Entretanto, acidentalmente, Wardle descobriu outra forma de utilizar o synthetic click no momento da tela de pop up de acesso. Por um código digitado errado, ele percebeu que é possível mesmo assim ainda liberar a função e clicar no OK, mesmo em um sistema High Sierra totalmente atualizado.

Wardle então entrou em contato com a Apple e ainda espera uma nova atitude contra isso. A fabricante ainda não respondeu o hacker. Tal falha pode permitir acesso a pontos muito pessoais do aparelho como geolocalização, lista de contato, informações de calendário e arquivos pessoais.

Dessa forma, há um número incontável de golpes que podem ser aplicados com esta falha. A expectativa de Wardle, contudo, é que a fabricante solte um novo update nos próximos dias.

Fonte: Arstechnica