Предназначенное для macOS приложение Telegram содержит уязвимость, через которую злоумышленник может получить доступ к веб-камере и микрофону компьютера, обнаружил инженер Google Дэн Рева (Dan Revah).

Источник изображения: Rubaitul Azad / unsplash.com

Уязвимость клиента Telegram под macOS была выявлена ещё в феврале, и тогда же администрация платформы получила о ней уведомление. Но администрация Telegram на сообщение не отреагировала, и Рева принял решение предать своё открытие широкой огласке.

Уязвимость возникла из-за возможности интеграции в Telegram сторонней динамической библиотеки (Dylib). Из-за этого приложение обходит средства защиты Hardened Runtime и Entitlements: первое предназначено для защиты от вредоносного кода и манипуляций с памятью, а второе — для контроля над доступом к микрофону, камере и другим компонентам компьютера.

В результате становится возможным внедрить на компьютер собственную динамическую библиотеку, запуск которой будет производиться от имени Telegram с его полномочиями — она позволит негласно записывать звук и видео, сохраняя записи в файле. При включении инструмента LaunchAgent такая вредоносная библиотека сможет самостоятельно запускаться после перезагрузки компьютера, а открывать мессенджер для этого уже не потребуется.

Проблема возникла из-за того, что на macOS отсутствует жёсткое требование поддержки Hardened Runtime в приложениях, тогда как на iOS оно есть.

Apple впервые выпустила обновления безопасности «Быстрые ответы на угрозы» (Rapid Security Response, RSR) с целью оперативного устранения уязвимостей в системе безопасности своих программных платформ. Компания впервые представила пакет RSR для широкой публики, а не только для бета-тестеров или разработчиков, использующих предварительные сборки iOS, iPadOS и macOS.

Источник изображения: Apple

Rapid Security Responses — это новый формат выпуска апдейтов для операционных систем и ПО Apple. Они обеспечивают важные исправления проблем безопасности между крупными релизами программного обеспечения и включают, например, доработки веб-браузера Safari, стека инфраструктуры WebKit и других компонентов.

Ранее обновления RSR были доступны только для бета-тестеров или разработчиков, но теперь Apple начала распространение RSR для всех пользователей iOS 16.4.1, iPadOS 16.4.1 и macOS 13.3.1. В дальнейшем RSR будет доступно только тем, у кого установлены самые последние версии iOS, iPadOS и macOS.

Чтобы получить обновления Rapid Security Response необходимо проверить, что следующие настройки включены:

• iPhone или iPad: выберите «Настройки → Основные → Обновление ПО → Автообновление», затем убедитесь, что пункт «Быстрый ответ на угрозы» активирован.
• Mac: перейдите в «Настройки системы», выберите «Основные» на боковой панели, затем нажмите «Обновление ПО» справа. Нажмите кнопку «Показать подробности» рядом с пунктом «Автообновление», а затем убедитесь, что параметр «Быстрый ответ на угрозы» активирован.

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

Apple собирается прекратить поддержку онлайн-сервисов для устройств под управлением iOS 11, macOS High Sierra, watchOS 4 и tvOS 11, сообщает 9to5Mac со ссылкой на инсайдера под псевдонимом StellaFudge. В начале мая устройства лишатся доступа к таким службам как App Store, Maps и Siri — работать будет только iCloud.

Источник изображения: Jan Vašek / pixabay.com

В результате смартфоны, выпущенные до iPhone 5s, который получил обновление до iOS 12 в отличие от представленного вместе с ним iPhone 5c, фактически превратятся в простые мобильные телефоны. Apple регулярно отказывается от обновления iOS и других программных платформ на старых устройствах, но впервые за всё время компания задним числом лишает базовых функций гаджеты, которые считает неактуальными.

Для столь радикального шага есть объективные причины: по мере устаревания устройств и переключения поддержки производителей на более новые продукты информация об уязвимостях старых гаджетов становится известной широкому кругу лиц, и растёт вероятность того, что киберпреступники начнут эти уязвимости эксплуатировать. При наличии активного интернет-соединения и использующих его сервисов актуальность проблемы дополнительно возрастает.