较旧的 macOS 应用程序仍可能存在严重的安全漏洞

上周，在拉斯维加斯举行的 Black Hat USA 网络安全和 DEF CON 黑客大会上，网络安全领域公布了许多令人兴奋的发展和更新。安全研究人员演示了他们可以越狱 John Deere 拖拉机和劫持退役卫星，而大型科技公司则找到了让现有安全工具协同工作的新方法。

一则报道强调了一款主流操作系统软件的缺陷：2020 年，荷兰研究员 Thijs Alkemade 发现了一个漏洞，该漏洞破坏了 macOS 的每一层安全保护。该漏洞现已得到修补，但在 macOS 上运行的旧应用程序可能仍然存在漏洞。考虑到 Apple 最近发布了一个安全更新来修复一个可能让黑客完全控制设备的漏洞，这项研究尤其有趣。

Alkemade 发现的是 macOS 的“已保存状态”功能中的一个漏洞。关闭 Mac 时，您可以选择勾选一个复选框，这样在重新开机时会自动重新打开所有应用和窗口。这会在硬盘上创建一个已保存的系统状态，操作系统会从中重新加载应用。（它还用作“App Nap”的一部分，其中正在使用的应用会被暂停以释放系统资源。）

通过反复使用一种名为“进程注入”的技术来对抗保存状态功能，Alkemade 能够绕过 macOS 的所有系统保护措施并控制易受攻击的 Mac，读取磁盘上的任何文件，安装其他恶意软件，甚至在用户不知情的情况下激活网络摄像头。这包括 macOS 的“应用沙盒”，旨在将恶意代码限制在单个应用程序中，并阻止黑客利用单个漏洞（如本漏洞）控制整个系统。

进程注入的工作原理是将恶意代码伪装成允许运行的另一个进程的一部分，从而诱使操作系统运行恶意代码。一般来说，这意味着将恶意代码插入到拥有大量权限来访问操作系统最安全角落的应用程序和系统工具中。虽然这是一种常见的攻击方式，但很少有像这种攻击方式一样广泛或危险。

在这种情况下，Alkemade 能够创建一个恶意的“序列化对象”——这是 macOS 中一种常用的数据结构，可以转换为原始计算机代码字符串并再转换回来（这通常是为了准备好数据以供存储或共享）。然后，他将其保存在 macOS 文件系统中，这样如果目标应用程序在用户启动系统关闭时正在运行，它就会被保存状态功能加载。（Alkemade 的博客文章详细介绍了所有这些细节，详细介绍了这一漏洞。）

[相关：数字赏金猎人如何寻找软件漏洞和金钱]

为了逃避应用沙盒，Alkemade 滥用了 macOS 的“打开和保存”面板。它是少数几个可以在沙盒应用内运行的进程之一，这使它能够查看原本无法访问的文件。面板的权限使 Alkemade 能够在应用沙盒之外运行他的恶意代码，然后通过搭载 macOS Public Beta Access Utility 的权限来获得系统的 root 访问权限（基本上是管理员级权限）。

Alkemade 必须绕过的最后一层 macOS 安全保护称为“系统完整性保护”或 SIP。它专门用于防止具有 root 访问权限的恶意行为者接管您的系统、控制您的网络摄像头或访问某些受保护的文件。他能够通过使用 macOS Update Assistant 上的进程注入攻击来绕过它，该程序有权读取和写入所有受 SIP 保护位置的数据。

完成这些后，Alkemade 几乎完全控制了 Mac。他可以安装任何恶意工具（如键盘记录器和其他间谍软件）或窃取系统上的任何数据。所有这些都利用了 macOS 中的一个漏洞。Alkemade 于 2020 年通知了 Apple，并通过 Apple Security Bounty 计划获得了报酬。2021 年 4 月和 10 月发布了两个更新来修补漏洞的各个方面。虽然到目前为止还没有证据表明它在野外被使用，但由于攻击的性质，较旧的应用程序（或可能被恶意降级的更新应用程序）在可预见的未来仍将容易受到攻击。