Um novo levantamento da firma de segurança Interpres Security apontou que cibercriminosos estão explorando vulnerabilidades no framework Transparency, Consent, and Control (TCC) do macOS para atacar usuários corporativos de computadores da Apple.
O TCC, como explicado no relatório, atua para proteger a privacidade do usuário ao controlar as permissões concedidas aos aplicativos. Ao que tudo indica, porém, esse framework pode ser manipulado para tornar Macs vulneráveis a ataques — embora isso também demande uma boa dose de engenharia social.
Essa, vale notar, não é a primeira vez que o TCC vira alvo de crackers. De acordo com o AppleInsider, no passado era possível modificar diretamente a base de dados do framework para explorar fraquezas nas proteções de integridade do sistema, o que permitia obter permissões secretas no macOS.
A Apple até chegou a introduzir o System Integrity Protection (SIP) para coibir esses ataques com o macOS Sierra. Entretanto, em 2023, a Microsoft descobriu uma vulnerabilidade no macOS que tornava essa proteção basicamente inútil.
A gigante de Cupertino, é claro, corrigiu boa parte dessas vulnerabilidades nos últimos updates, mas os cibercriminosos continuam focando nesse aspecto do sistema para atacar usuários corporativos. Entre alguns dos grupos que exploraram essa fraqueza do macOS, está o famoso Lazarus Group, sobre o qual já falamos algumas vezes.
Além do TCC, o Finder também conta com a sua dose de vulnerabilidades. Segundo o levantamento, ele tem, por padrão, acesso completo ao disco do sistema — permissão que não é listada nos Ajustes do Sistema. Como o Finder tem acesso ao Terminal por padrão, caso um cracker mire o gerenciador de arquivos do macOS, ele terá acesso não só ao disco do usuário, mas também ao Terminal.
Segundo a Interpres Security, uma forma de as empresas protegerem os seus funcionários é limitando o número de aplicativos aos quais eles têm acesso em suas máquinas. Treinamentos de segurança regulares também são considerados essenciais para ensinar essas pessoas a identificar possíveis ameaças e não cair em táticas de engenharia social.
