A Defcon 2018 , ex-NSA funcionário e um popular hackers Mac Patrick Wardle apresentou seu trabalho de pesquisa que envolveu ignorando as camadas de segurança no MacOS que são destinados para bloquear a propagação de malware no sistema com a ajuda de cliques sintéticos.
Cada sistema operacional tem um mecanismo que impede a intenção dos hackers de roubar os dados confidenciais perguntando ao usuário se eles querem dar acesso aos dados para um determinado aplicativo ou não. O usuário tem que escolher entre “Permitir” e “Negar”. Quando o usuário nega o acesso, um ponto de verificação é criado pelo sistema para impedir que o aplicativo específico seja executado e permite que outros aplicativos funcionem sem problemas.
O trabalho de pesquisa de Wardle é baseado nessa questão. Ele acredita que o malware pode chegar e clicar no botão "Permitir" tão facilmente quanto um ser humano.
Observe que isso só é possível quando um malware já entrou no sistema. Wardle executou o hack na versão macOS High Sierra. Ele demonstrou que, com a ajuda de cliques sintéticos, o malware contornava as solicitações de permissão que deveriam bloqueá-lo. Uma vez que o malware obtém a permissão, ele pode encontrar a localização do usuário, roubar contatos e assumir os kernels para controlar todo o sistema.
O que são cliques sintéticos?
Cliques sintéticos ou cliques invisíveis são um recurso do macOS que permite que alguns programas, como o AppleScript, produzam cliques sintéticos que não são solicitados por seres humanos, mas o próprio programa. Esses cliques são destinados à automação e à execução de ferramentas de usabilidade para deficientes. No entanto, para manter a segurança intacta, cliques invisíveis não são permitidos em alguns pop-ups sensíveis "Permitir" e "Negar".
Wardle descobriu que o macOS permite cliques sintéticos em prompts que solicitam os contatos dos usuários, seus calendários, registram a localização de um usuário e identificam a rede à qual ele está conectado.
Um código de teste mal-intencionado, executado por ele, percorreu as instruções tão facilmente quanto os seres humanos.
Em março passado, Wardle conversou no Syscan 360 realizado em Cingapura sobre as vulnerabilidades do macOS e como ele poderia ser explorado com cliques sintéticos. Ele tentou cavar ainda mais e descobriu que os cliques sintéticos também poderiam ser usados para acessar o keychain do macOS que armazena todas as senhas armazenadas pelo usuário e também pode instalar extensões de kernel que podem adicionar códigos para assumir o controle do sistema.
slides from my SyScan360 talk "Synthetic Reality: Breaking macOS One Click at a Time" are now online: patreon.com/posts/17724509 tl;dr via "Mouse Keys"one could invisibly break many of Apple's local macOS security mechanisms
A Apple, então, corrigiu a vulnerabilidade apontada por Wardle.
Wardle ainda não informou a Apple sobre essa vulnerabilidade, mas diz que já avisou a empresa várias vezes sobre os recursos dos cliques sintéticos. Ele disse: "Eu relatei uma tonelada de insetos para eles, e isso não parece ser uma mudança inspiradora".
O pop-up que solicita permissão do usuário para conceder ou negar o acesso aparece apesar de obter a aprovação dos cliques sintéticos. Se isso acontecer, o usuário ficará alerta automaticamente. Para isso, Wardle diz que o malware pode esperar pela inatividade quando o usuário não está sentado na frente do sistema para perceber a permissão concedida pelos cliques sintéticos. Também é possível que o malware possa diminuir o brilho da tela durante esse momento para torná-lo quase imperceptível para os usuários.
Wardle terminou essa conversa na Defcon 2018 dizendo que essas falhas de segurança são “coxas” e ainda “poderosas”. A Apple precisa consertar essas vulnerabilidades frequentes para garantir aos usuários que o macOS é à prova de falhas e seguro.
