Mais um dia, mais uma vulnerabilidade: desta vez, o desenvolvedor Jeff Johnson publicou em seu site a demonstração de uma falha que acomete múltiplas versões do macOS — incluindo a primeira beta do Big Sur — e permite que invasores acessem diretórios restritos do sistema, burlando proteções de privacidade e modificando arquivos de aplicativos para infectá-los.
Mais especificamente, a falha está relacionada a um recurso de segurança introduzido no macOS 10.14 Mojave, chamado Transparency, Consent and Control (Transparência, Consentimento e Controle, ou TCC). A ferramenta restringe o acesso de aplicativos de terceiros a determinadas áreas e pastas do sistema consideradas sensíveis, concedendo esse acesso apenas com a aprovação do usuário.
O problema é que, de acordo com os achados de Johnson, o TCC não funciona da forma que deveria. Ele descobriu que o recurso usa apenas um identificador para checar as permissões (ou a falta delas) em um determinado app, em vez de ligar essas permissões ao caminho de arquivo do aplicativo; o TCC, além disso, checa a assinatura do código apenas superficialmente, permitindo que softwares maliciosos transpassem a ferramenta.
Munido desse conhecimento, um invasor pode copiar os arquivos do seu aplicativo malicioso para outra área do sistema, onde esteja instalado algum app legítimo, e automaticamente receber as permissões de acesso desse app — sem que o usuário tenha de conceder esse acesso em momento algum.
Johnson criou uma prova de conceito para demonstrar a vulnerabilidade: primeiramente, um aplicativo baixa uma versão modificada do Safari que é instalada no local do sistema onde o Safari “verdadeiro” está instalado. Em seguida, o Safari falso, munido das permissões do original, consegue obter acesso a arquivos protegidos e enviá-los a servidores remotos.
Em dezembro passado, o desenvolvedor tentou acionar o Apple Security Bounty (programa de recompensas da Apple), que paga a pesquisadores por falhas em seus sistemas. Após meses de conversas entre Johnson e a equipe de segurança da Maçã, nada mudou: o problema continua presente em todas as versões do macOS a partir do Mojave, e os engenheiros da empresa continuam afirmando que estão investigando a questão — e, por enquanto, Johnson não recebeu um centavo sequer por parte da Apple.
Por conta dessa morosidade, o desenvolvedor resolveu divulgar a vulnerabilidade — talvez para dar visibilidade pública ao problema e, quem sabe, incentivar os engenheiros da Apple a trabalharem na questão. Na sua publicação, Johnson não deixou de criticar o Apple Security Bounty:
Já se vão seis meses desde que eu relatei esse problema para a Apple. Isso vai muito além da janela de “divulgação responsável”, que tipicamente dura 90 dias após relatar uma vulnerabilidade para um fabricante. Também está cada vez mais óbvio que eu não receberei nenhuma recompensa da Apple por nada do que eu falei para eles, ou ao menos não em um período razoável. Eu não estou interessado em esperar anos por uma recompensa. Não posso falar por mais ninguém, mas minha experiência pessoal é que o Apple Security Bounty tem sido desapontador, e eu não pretendo participar dele novamente.
Até o momento, portanto, não há uma correção específica para o problema; a vulnerabilidade, por outro lado, não é das mais graves — ela significa, simplesmente, que esse aspecto da segurança do macOS é similar ao de versões mais antigas do sistema (do High Sierra para trás).
Para os usuários, portanto, a precaução é a mesma de sempre: dar preferência a apps baixados na Mac App Store e, quando for baixar software de fora da loja, certificar-se de estar obtendo aplicativos de desenvolvedores e páginas confiáveis. Cuidem-se!
via AppleInsider
