Onderzoeker vindt kwetsbaarheid in macOS Mojave die privacybescherming omzeilt

Een beveiligingsonderzoeker heeft een manier gevonden om de privacybescherming van Apples macOS 10.14 Mojave te omzeilen. In een video toont hij hoe hij het adresboek kan kopiëren, terwijl hier geen toestemming voor is.

Beveiligingsonderzoeker Patrick Wardle, oprichter van het bedrijf Digita Security, toont in een video hoe hij via Terminal het adresboek wil benaderen en hoe via de pop-up toestemming wordt geweigerd. Terminal geeft daarna keurig aan dat data uit Contacts niet gekopieerd kan worden, omdat er geen toestemming is.

Na het draaien van zijn Mojave Privacy Bypass-applicatie, slaagt hij er echter toch in de adressen te kopiëren. Tegenover Bleeping Computer noemt hij de kwetsbaarheid triviaal, maar honderd procent betrouwbaar. Volgens hem zijn er kwaadaardige applicaties mee te maken die zonder de vereiste autorisatie toegang kunnen krijgen tot gevoelige gegevens.

De details van zijn methode maakt hij nog niet bekend. Dat doet hij bij de door hem georganiseerde conferentie over Mac-beveiliging in november, in Hawaii. Wardle heeft Apple ingelicht over het probleem. Apple bracht macOS Mojave maandag uit. Het besturingssysteem breidt de privacybescherming van Gatekeeper uit naar onder andere Mail, Messages, Safari-browsegegevens en back-ups. Contacts viel al onder de bescherming, die bijhoudt aan welke apps toestemming is gegeven om de data te benaderen.

Apple heeft bij macOS 10.14 Mojave zelf een groot aantal beveiligingsproblemen verholpen.

Reacties (49)

DCK 25 september 2018 14:14

Interessante kwetsbaarheid, en goed dat dit gerapporteerd wordt en gefixt gaat worden. Let hierbij op dat het lezen van het adresboek op alle desktop OSen tot voor kort geen beschermde actie was: de meeste Linux-adresboekprogramma's zijn bijvoorbeeld gewoon uit te lezen door alle programma's en scripts die je draait als jouw user. Hij omzeilt dus een extra (en broodnodige) beschermlaag die macOS (en bv Windows 10 ook voor de standaard contactenapp) hebben.

Echter heb ik zeer mijn twijfels bij hoe dit wordt gepresenteerd. Het gebruik van de term [0 day] in zijn video, het feit Mojave gisteren pas officieel is uitgekomen ondanks vele betas met ongetwijfeld hetzelfde probleem... Ik stel mijn twijfels bij de intenties die deze onderzoeker heeft vanwege de wijze en timing van de publicatie. Publicatie van kwetsbaarheden zou niet een manier moeten zijn om roem te vergaren.

djexplo @DCK • 25 september 2018 14:48

Publicatie van kwetsbaarheden zou niet een manier moeten zijn om roem te vergaren.

Van zijn linkedin :

He gave technical presentations, both within and outside the company, that would routinely command awe and respect. These presentations were often about unique vulnerabilities that he had responsibly disclosed and they would often attract widespread media attention for Synack

Het gaat niet om roem. Er word de aandacht van de pers getrokken door een beveilingsprobleem op te blazen. Net als bij anders startups is dat de manier om inversteerders binnen te halen, en dat is goed gelukt al meer dan 55.000.000 dollar binnen https://en.wikipedia.org/wiki/Synack

[Reactie gewijzigd door djexplo op 27 juli 2024 04:12]

laptopleon @DCK • 25 september 2018 14:28

Én hierdoor ontstaat de indruk dat OS X minder veilig is dan het in werkelijkheid is. Want dit wordt door mensen gelezen als: 'Mac is gehackt' terwijl het realistischer is om te stellen dat een beveiliging nog niet goed genoeg werkt, die anderen niet eens hebben.

Kenhas @laptopleon • 25 september 2018 15:55

Zo kan je een beetje alles goed praten. Dit is nu niets wereldschokkends maar een beveiliging die anderen toch nog niet hebben, is er wel erg licht over gaan.

Las net over iets met screen time die niet correct werd. Een kleine verwijderde een app (als screen time verlopen was) en herinstalleerde de app (blijkbaar minder controle in app store als het een app is die je al eens had) en dan werkt screen time niet meer voor die app.
https://www.nieuwsblad.be/cnt/dmf20180925_03782010

laptopleon @Kenhas • 25 september 2018 17:32

'Kleine' heeft blijkbaar het wachtwoord van het bijbehorende Apple account, dat hij kan installeren wat hij wil? Op zo'n manier gaat geen enkele beveiliging werken natuurlijk.

LOTG @laptopleon • 25 september 2018 15:08

Dat valt volgens mij wel mee, kijk naar de keren dat iOS problemen heeft waarbij vaak de lockscreen is te omzeilen en dergelijke. Volgens mij heeft Apple er geen klant minder mee gekregen.

Tozz @laptopleon • 25 september 2018 14:44

Als je als OS-ontwerper een functie of feature implementeert moet het veilig zijn. Als dat het niet is dan is "MacOS gehacked!" een valide uitspraak. Dat een ander OS die functie niet heeft doet daar niet aan af.

Als ik een fietsslot heb dat met een blanco loper open te maken is (hallo AXA!) dan is dat een security issue, ookal zijn er ook fietsen zonder slot.

Als ik een auto heb waarvan de gordels losschieten bij te grote kracht dan is dat een security issue, ookal zijn er ook (oude) auto's die geen gordels hebben.

Je probeert het nu goed te praten, maar dat is in mijn ogen onterecht. Als je iets ontwikkelt in je systeem en je laat mensen daar op vertrouwen moet het goed zijn, ookal biedt de concurrent die zelfde functie (nog) niet.

laptopleon @Tozz • 25 september 2018 14:50

Een betere vergelijking zou zijn:

"Ik heb de autogordels eerst doorgesneden (speciale malware geïnstalleerd) en toen bleken ze niet goed meer te werken."

Power2All @laptopleon • 25 september 2018 15:14

Goed punt, maar aan de andere kant, het gat moet er in eerste instantie niet in zitten.
Het product is dan standaard "gehacked", het punt zeggen dat het "niet goed functioneerd" klopt wel, maar het eind resultaat is dat het gehacked is, aangezien er een exploit gebruikt wordt om de beveiliging te omzeilen.

[Reactie gewijzigd door Power2All op 27 juli 2024 04:12]

laptopleon @Power2All • 25 september 2018 15:52

Het argument dat er een exploit is, snijdt weinig hout als je toch al fysieke toegang tot de machine moet hebben – want daar helpt sowieso niets tegen qua beveiliging – en maakt al helemaal geen indruk meer als je ook nog eerst de rechten moet hebben om een speciaal hiervoor geschreven stuk malware te installeren.

Dus het is een beetje alsof je een zwakheid hebt gevonden in een slot voor voordeuren, wat alleen te misbruiken is als je eerst het slot gedemonteerd hebt, van binnenuit het gebouw. Het slaat nergens op. Het is puur voor de 'media spin'.

Power2All @laptopleon • 25 september 2018 19:05

Of je nou wel of geen physieke toegang hebt doet er niet toe.
Met een simpele X11 forwarding of puur via SSH, kun je nog steeds alles doen, zonder dat een persoon het door heeft, via SSH.
Zover ik het zie, is de exploit software matig, dan is physieke toegang niet nodig.

[Reactie gewijzigd door Power2All op 27 juli 2024 04:12]

laptopleon @Power2All • 25 september 2018 20:37

SSH toegang staat standaard uit en de doorsnee gebruiker weet niet dat het bestaat. Dus hoe gaat dit dan werken? Hoe ga je de benodigde malware installeren? De hacker moet eerst SSH aanzetten en een user account met genoeg rechten hebben om software te installeren.

Als je dat allemaal al kan.. tja dan kan je op nog 100 manieren bij het adressenbestand komen.

Power2All @laptopleon • 26 september 2018 09:22

SSH toegang staat standaard uit en de doorsnee gebruiker weet niet dat het bestaat. Dus hoe gaat dit dan werken?

Ben je nou zo naief ?
Exploits kunnen zaken aan zetten zonder dat je het door hebt. Ja zelfs Apple is vatbaar, kom op, wordt eens wakker.

Hoe ga je de benodigde malware installeren?

Hier ga ik niet eens op in, gebruik je hersens eens...

Again, als er SSH/remote toegang is (wie zegt dat SSH aan moet staan, als je zelf een daemon technisch gezien kan draaien...?), kun je al een heleboel. We slaan het hele punt over door ervan uit te gaan dat niemand schijnbaar de wil heeft om SSH/remote toegang aan te zetten...

laptopleon @Power2All • 26 september 2018 10:49

Ben je nou zo naïef ? Exploits kunnen zaken aan zetten zonder dat je het door hebt. Ja zelfs Apple is vatbaar, kom op, wordt eens wakker.

Eh… Als er nu een manier gevonden was om SSL op afstand aan te zetten, DAN was het echt nieuws geweest.

En dan had hij dit niet hoeven noemen want dan was dit verhoudingsgewijs niet de moeite geweest.

Again, als er SSH/remote toegang is (wie zegt dat SSH aan moet staan, als je zelf een daemon technisch gezien kan draaien...?), kun je al een heleboel. We slaan het hele punt over door ervan uit te gaan dat niemand schijnbaar de wil heeft om SSH/remote toegang aan te zetten...

Het staat standaard uit. Je moet het dus eerst zelf aanzetten en dat heeft een reden.. En dan moet je nog een geldige gebruiker + password weten. Als je dat allemaal voor elkaar kunt krijgen… Tja dan heb je gewoon toegang tot de computer en is er niets bijzonders aan, dan is het zelfs logisch dat je bij data kan. Heeft allemaal niks met exploits te maken.

Power2All @laptopleon • 26 september 2018 14:45

Eh… Als er nu een manier gevonden was om SSL op afstand aan te zetten, DAN was het echt nieuws geweest. En dan had hij dit niet hoeven noemen want dan was dit verhoudingsgewijs niet de moeite geweest.

of je iets op afstand aanzet, of iemand een exploited website/whatever uitvoert op zijn machine, maakt niet uit. Als je zonder weten van de gebruiker een SSH server aan kan zetten, of zelfs zelf een simpele HTTP listener kan maken in Python/Perl, is allemaal mogelijk. Daar is niet zo heel veel verstand voor nodig.

Het staat standaard uit. Je moet het dus eerst zelf aanzetten en dat heeft een reden.. En dan moet je nog een geldige gebruiker + password weten. Als je dat allemaal voor elkaar kunt krijgen… Tja dan heb je gewoon toegang tot de computer en is er niets bijzonders aan, dan is het zelfs logisch dat je bij data kan. Heeft allemaal niks met exploits te maken.

Je weet ook dat je RAT's zelf kan maken in bijv. Python of Perl ?
Dat het standaard uit staat, again, doet er niet toe. Als je eenmaal SSH aan kan zetten door wat voor manier dan ook (exploited website, email attachement, iets dat uitgevoerd wordt wat niet de bedoeling is, etc...), ben je al de sjaak.
Als je eenmaal een process gestart kan krijgen onder Linux/Windows/Mac, ben je al lekker gehacked.
Je moet dan hopen dat de ingebouwde beveiliging van je OS of virusscanner iets door zal hebben.

[Reactie gewijzigd door Power2All op 27 juli 2024 04:12]

xoniq @Tozz • 25 september 2018 20:41

De gordel die je aanhaalt, is niet een security issue, maar een safety issue. (Aangezien je de Engelse benaming wenst te gebruiken, als je de Nederlandse benaming had gebruikt zat je goed; veiligheid)

armageddon_2k1 @DCK • 25 september 2018 14:45

Hij moet wel genoeg kaartjes verkopen voor z'n zelf georganiseerde conferentie natuurlijk.

PhoenixT @DCK • 25 september 2018 14:53

De timing en het gebruik van "0 day" in de titel van zijn video is inderdaad nogal dubieus. Zeker omdat het om een extra laag gaat die High Sierra niet eens had. Hij rekt de definitie van een "0 day exploit" dan ook flink op. Hij gaat de kwetsbaarheid ook uit de doeken doen op een security conferentie die hij zelf organiseert, dus dit lijkt op een soort verkapte reclamestunt. Patrick Wardle is verder wel bekend in het security wereldje en ik gebruik zelf zijn software, dus ik zie dit voor nu als een misstap.

RobbieB @DCK • 25 september 2018 14:56

Het grappige in dit geval, is dat het eigenlijk een iOS-applicatie is die in een OSX omgeving wordt gedraaid. Apple heeft met Mojave een aantal core applicaties aangepast. Dit voedt ook de geruchten van een OS X-systeem op ARM overigens.

Het verbaast me dan ook niet dat er kwetsbaarheden in dit soort 'nieuwe' applicaties gevonden worden.
Zoals je al aangeeft is dit een beveiliging die andere OS'en uberhaupt niet eens hebben, dus in hoeverre is dit nu echt een probleem?

Het belangrijkste is dat dit gevonden is en Apple z'n Framework hier op aan kan passen om dit in toekomstige applicaties ook te voorkomen.

fsfikke 25 september 2018 14:15

Natuurlijk altijd slordig als er bugs in een major release zitten. Maar eigenlijk is daarvoor natuurlijk de Beta fase. Dit lijkt er op alsof deze meneer de beta op bugs onderzocht heeft, om ze vervolgens pas na de release te publiceren als marketingstunt voor z’n eigen bedrijf/event...

bbob @fsfikke • 25 september 2018 14:28

Weet niet of dat met deze release te maken heeft. Als ik het goed lees viel contact al onder een bestaand beschermingsprogramma dus ook voor een vorige release.Zijn methode is van toepassing op het adresboek en dat zijn contacts die dus al beschermd zouden moeten zijn voor deze release.
Het betreft dus een bug in een bestaande release met de vraag of zijn methode opgelost is in de nieuwe release. Hij heeft het ook netjes gemeld.

Het feit dat de bug dus aanwezig was in vorige release geeft hem denk ik ook het recht om er reclame voor te maken dat hij het gevonden heeft.

bantoo @fsfikke • 25 september 2018 14:31

Als Apple een realistisch bedrag bereid was te betalen voor het rapporteren van security bugs was dit niet gebeurd. Hulde voor de onderzoeker die het vond om er op deze manier nog enige profijt uit te halen.

sjakie02 25 september 2018 14:13

Onderzoeker vindt kwetsbaarheid en wacht tot releasedatum van OS met de bekendmaking - niet bijzonder ethisch als je het mij vraagt

Single_Core @sjakie02 • 25 september 2018 14:15

Lijkt mij uit frustratie dat ze geen bug bountry programma hebben. Zoals je kan zien in de video

sjakie02 @Single_Core • 25 september 2018 14:16

Maakt het niet meer verantwoord. Vind het ook lame van Apple maar ik vind het een slechte zaak om het op deze manier te spelen.

Single_Core @sjakie02 • 25 september 2018 14:18

Beter zo dan op de zwarte mark deze te gaan verkopen voor bakken geld, wat hij er gerust voor zou kunnen krijgen.

CharlesND @Single_Core • 25 september 2018 14:34

Beter zo dan op de zwarte mark deze te gaan verkopen voor bakken geld, wat hij er gerust voor zou kunnen krijgen.

Ik denk niet dat deze hack waarvoor je naar het lijkt achter de te hacken computer moet zitten, kunnen inloggen en een app installeren erg veel waard is op de zwarte markt...

Niet Henk @CharlesND • 25 september 2018 14:51

Het gaat (zeer waarschijnlijk) om een hack waarmee je een niet-geautoriseerde applicatie toegang kan geven tot gegevens waar bepaalde autorisaties voor gegeven moeten zijn. Een vorm van privilege escalation, dus. Daarvoor moet natuurlijk een applicatie geïnstalleerd zijn, dat is niet deel van het lek.

Privilege escalation bugs doen het vaak best redelijk op de zwarte markt. Succesvolle hacks bevatten vaak meerdere onderdelen, waarvan privilege escalation er één is.

Als je je handen aan alleen deze bug hebt, kan je hem ook al gebruiken om spyware te maken: programma's die ongemerkt jouw gegevens doorsturen zonder dat ze daarvoor geauthoriseerd zijn.

Single_Core @CharlesND • 25 september 2018 15:40

Je zou verschieten, privilege escalation is één van de best bepaalde

D-Ed @sjakie02 • 25 september 2018 14:15

En dan ook nog pas bekend maken hoe en wat op je eigen georganiseerde event.. Jammer dat dit soort gasten een podium krijgen op sites als Tweakers idd..

WhatsappHack

Apple

@D-Ed • 25 september 2018 14:21

Lijkt me wel terecht. Wardle doet heel erg veel goede dingen voor de Mac-community en levert legio gratis beveiligingsapplicaties waaronder een firewall, ransomwhere blockers en meer leuke tools (https://objective-see.com). Hij noemt het zelf al triviaal en zal daarom wel goede redenen hebben om het niet te laten wachten op een Apple-patch. Het is niet de eerste de beste random scriptkid zullen we maar zeggen.

[Reactie gewijzigd door WhatsappHack op 27 juli 2024 04:12]

D-Ed @WhatsappHack • 25 september 2018 14:26

Je kunt nog zoveel doen voor de community maar als je bewust wacht met het bekend maken van een kwetsbaarheid terwijl je in een beta zit te wroeten dan klopt er ethisch gezien iets niet met je (naar mijn idee).

Dan ben je misbruik aan het maken van je kennis. Als hij melding had gemaakt tijdens het testen van de beta en Apple doet er niets mee dan kan ik er nog begrip voor hebben. Nu niet zo

WhatsappHack

Apple

@D-Ed • 25 september 2018 15:23

Je kunt nog zoveel doen voor de community maar als je bewust wacht met het bekend maken van een kwetsbaarheid terwijl je in een beta zit te wroeten dan klopt er ethisch gezien iets niet met je (naar mijn idee).

Dan ben je misbruik aan het maken van je kennis. Als hij melding had gemaakt tijdens het testen van de beta en Apple doet er niets mee dan kan ik er nog begrip voor hebben. Nu niet zo

We weten niet of dat de situatie is. Althans, ik kan dat niet vinden.
Misschien heeft ie het een maand of langer geleden al gemeld, kwam nu de stable uit, is het niet gefixt en besluit hij het te releasen.

REDSD

@sjakie02 • 25 september 2018 14:36

Zolang hij de data niet verkoopt valt het wel mee denk ik.
Veel mensen doen dit in hun vrije tijd voor niks, ik kan me daarbij wel voorstellen als je zo iets groots vind, dat je dit gebruikt om er zelf ook wat beter van te worden.

Als Apple hier veel waarde aan zou hechten zouden ze ook wel vergoedingen uitgeven verwacht ik, voor de rest mogen wij dankbaar zijn dat er zoveel mensen voor niks ons leven proberen te verbeteren/beschermen.

skaars @sjakie02 • 25 september 2018 16:08

Wie zegt dat het zijn verantwoordelijkheid is om dit te melden. Apple is leverancier van de software en hardware en is verantwoordelijk voor het leveren van een deugdelijk product. Hij brengt het naar voren, daarom weet nu Apple + het grote technische publiek het. Dus nog niet updaten voor de gebruiker, en bugfixing-time voor Apple.

sjakie02 @skaars • 25 september 2018 16:59

Omdat hij het issue al lang weet en wacht met de bekendmaking tot zijn eigen security event. Hij noemt zich security researcher maar in mijn ogen verdient hij die titel niet. Als hij het probleem had gemeld bij Apple en die had er niet op gereageerd dan is het een hele andere zaak.

laptopleon 25 september 2018 14:13

Oh, je hoeft alleen maar eerst even een app te installeren…

jordees @laptopleon • 25 september 2018 14:31

En toegang te hebben tot de Mac waarop je dit wilt doen....

Qlusivenl

25 september 2018 14:21

Je hoeft enkel zijn app te installeren om deze bug te exploiten

Ook al is het "slordig" dat dit in een major release zit, het is ongelofelijk smerig van deze "beveiligingsonderzoeker" om dit zo te publiceren. Dit had hij weken geleden al bij Apple kunnen melden, gezien hij dit al veel eerder wist. Door het net na de release als een zero day met een video de wereld in te brengen zorgt voor een security risico, terwijl als hij het gemeld had bij ontdekking Apple het er 100% zeker uit gehaald had voor de release.

Zo ben je geen security onderzoeker maar een aandachtszoeker.

michaelkamen

@Qlusivenl • 25 september 2018 14:32

Wardle heeft Apple ingelicht over het probleem.

Hij heeft het dus weldegelijk gemeld.
We weten alleen niet of dit gisteren was, of een maand geleden (Waardoor Apple het wellicht al had kunnen fixen voor de release maar niet heeft gedaan, wat zou kunnen verklaren waarom hij het naar buiten heeft gebracht).

Zo ben je geen security onderzoeker maar een aandachtszoeker

Security onderzoekers moeten ook ergens van leven..

[Reactie gewijzigd door michaelkamen op 27 juli 2024 04:12]

Qlusivenl

@michaelkamen • 25 september 2018 17:14

Gemeld net voordat hij zn video online zet... tsja, meldt het dan niet, ze zien het eerder online dan dat ze de bugreport zien...

Edit1:
Leeftie van zero days online te zetten zonder het in het feedback programma te melden? los van de views waar je een paar euro mee verdient, verdientie er verder niets aan...

[Reactie gewijzigd door Qlusivenl op 27 juli 2024 04:12]

Krulliebol @Qlusivenl • 25 september 2018 21:49

Hij houdt binnenkort een conferentie over Mac-beveiliging en daar wil hij alle details over dit lek bekendmaken. Ik denk dat daar z'n businessmodel zit.

michaelkamen

@Krulliebol • 25 september 2018 23:08

Waarom zouden mensen naar een conferentie komen om te horen over een lek wat dan hoogstwaarschijnlijk al is gedicht door Apple?
Ik hoop dat het is om z'n skills als security researcher te 'verkopen'..

Power2All @michaelkamen • 26 september 2018 09:27

Dat is schijnbaar zijn werk ?
Ook al is het gedicht, het is dan nog steeds interessant voor sommige mensen om te weten wat voor fuck-up Apple gemaakt had, ben ik opzich ook nieuwsgierig naar.
Sommige mensen hebben er hun full-time job van gemaakt, maar zo te lezen begrijpen sommige mensen dat niet helemaal.. ?

Daarnaast, hij heeft de manier van de hack niet laten zien, alleen dat er een bepaalde mogelijkheid is tot omzeiling, en dat vind ik al heel netjes. Heeft hij ergens de code online staan waarin uitgebreid uitgelegd is "hoe" hij het omzeilt ? Zo ja, dan is dat idd niet netjes, maar zo nee, dan is dat prima.

[Reactie gewijzigd door Power2All op 27 juli 2024 04:12]

WhatsappHack

Apple

@Qlusivenl • 25 september 2018 14:40

Je hoeft enkel zijn app te installeren om deze bug te exploiten

Deze opmerking zie ik hier vaker voorbij komen, maar zo gek is dat toch niet voor een proof of concept...?
Ik bedoel, bij hem weet je dat je het download en wat het doet. Als het als kwaadaardige code meekomt in een applicatie waar je het niet van verwacht, zal hetzelfde effect op kunnen treden en dat is wat hiermee aangetoond wordt.

Proof of Concepts zijn niet bepaald vreemd. Om te kijken of je kwetsbaar bent voor bepaalde aanvallen moet je wel vaker scriptjes draaien.

[Reactie gewijzigd door WhatsappHack op 27 juli 2024 04:12]

kevinkrs 26 september 2018 20:00

En weer gedowngrade, blijf wel bij een veilig en betrouwbaar OS. Volgend jaar kijk ik wel of 10.14 inmiddels ok werkt...

s.stok @BikkelZ • 26 september 2018 13:25

Om nog maar te zwijgen over dat niets toevoegende achtergrond "muziekje"

ik kan er niet achter komen of dat de kwaliteit zo slecht is of nummer zelf al compleet ruk is

Edit. Slecht geslapen

[Reactie gewijzigd door s.stok op 27 juli 2024 04:12]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (49)

Sorteer op:

Weergave: