MacOS можно взломать с помощью одной «галочки» при выключении компьютера

Перед тем как Mac выключится, появляется всплывающее окно, где можно выбрать опцию повторного открытия приложений, которые были открыты перед выключением устройства. Исследователь нашел способ использовать уязвимость в этой функции "сохраненного состояния" - и она может быть инструментом взлома ключевых уровней защиты Apple.

По словам Тийса Алкемаде, исследователя компьютерной безопасности из Computest, обнаружившего уязвимость, она может позволить злоумышленнику прочитать все файлы на Mac или взять под контроль веб-камеру. "По сути, это одна уязвимость, которая может быть применена к трем разным местам", - говорит он.

После развертывания первоначальной атаки на функцию сохранения состояния, Алкемаде смог продвинуться по другим частям экосистемы Apple: сначала выбраться из “песочницы” macOS, которая предназначена для ограничения успешных взломов одним приложением, а затем обойти System Integrity Protection (SIP), ключевую защиту, предназначенную для предотвращения доступа авторизованного кода к конфиденциальным файлам на Mac.

Алкемаде впервые обнаружил уязвимость в декабре 2020 года и сообщил о ней компании Apple в рамках программы "bug bounty". По его словам, за исследование ему заплатили "неплохое" вознаграждение, хотя он отказывается назвать сумму. С тех пор Apple выпустила два обновления, устраняющие этот недостаток, сначала в апреле 2021 года, а затем в октябре 2021 года.

Исследователь отмечает, что хотя Apple исправила проблему для компьютеров Mac под управлением операционной системы Monterey, которая была выпущена в октябре 2021 года, предыдущие версии macOS по-прежнему уязвимы для атаки.