Nederlander vindt ernstig gat in macOS

Gebruikers van Mac-computers lopen het risico van aanvallen waarbij cybercriminelen via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties. Daarlangs is dan misbruik mogelijk, zoals bijvoorbeeld het ongemerkt aanzetten van camera of microfoon, maar ook eventueel overnemen van het hele systeem. Een patch is er, maar niet voor alle Mac-gebruikers.

Jasper BakkerredacteurMeer van deze auteur

Het risico van aanvallen via andere apps komt voort uit een kwetsbaarheid in macOS die is ontdekt door de bekende Nederlandse security-onderzoeker Thijs Alkemade. Deze expert, in dienst van Computest Security, heeft zijn vondst verantwoord gemeld bij Apple en na uitbrengen van een patch uiteengezet op hackersconferenties Black Hat en DEF CON.

Twee jaar terug en tien jaar oud

Zijn ontdekking in 2020 van een 'process injection vulnerability' maakt het mogelijk om de isolatie (sandbox) van apps te doorbreken. Dit beveiligingsgat is nog wat ernstiger doordat het een fundamenteel element van macOS betreft waardoor het universeel toepasbaar is op alle Mac-applicaties die zijn gebaseerd op Apple's AppKit. Die toolkit van de Mac-maker helpt developers om hun eigen applicaties te ontwikkelen.

De door Alkemade daarin gevonden fout is terug te voeren naar functionaliteit die Apple tien jaar geleden heeft geïmplementeerd in macOS. Dat is de zogeheten 'saved state'-functie die alle openstaande apps en vensters na uitschakelen weer opent, in de staat waarin ze waren toen de Mac werd uitgeschakeld. Ten tijde van die toevoeging aan macOS (toen nog Mac OS X geheten) speelde de kwestie van vele verschillende apps met vele verschillende rechten nog weinig. Dat ligt tegenwoordig nogal anders.

“Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag", stelt Alkemade in het persbericht van Computest over zijn onthulling nu. "Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken. Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies."

Mac-patch, niet voor iedereen

"Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen." Apple is in december 2020 door Alkemade ingelicht over de kwetsbaarheid, compleet met exploitmogelijkheden. In april 2021 is een eerste fix uitgebracht en in oktober vorig jaar is er een fix geïntroduceerd in macOS Monterey. De voorgaande versies Big Sur en Catalina hebben echter tot op heden nog geen eigen patch gekregen. Het is niet bekend of en wanneer Apple deze patch gaat backporten.

Very happy to announce that I'll be giving the talk "Process Injection: Breaking All macOS Security Layers With a Single Vulnerability" at Black Hat USA @BlackHatEvents ! See https://t.co/GaLFuBxVdo
— Thijs Alkemade (@xnyhps) May 24, 2022