W czerwcu Apple wprowadziło w MacOS funkcję bezpieczeństwa, która “zmusza” wszystkie aplikacje do uzyskania zgody użytkownika przed uzyskaniem dostępu do poufnych danych lub komponentów w systemie m.in. aparatu, mikrofonu, danych geolokalizacyjnych, wiadomości lub historii przeglądania.
Tuż przed konferencja WWDC 2019 poznaliśmy podatność w systemach MacOS umożliwiającą obejście wyżej wymienionej funkcji poprzez wykorzystanie „syntetycznych kliknięć”, czyli możliwość wykonywania kliknięć przez uruchomione aplikacje. Pozwala ona na instalowanie oprogramowania i udzielanie zezwoleń, prawie jakby to robił użytkownik komputera.
Ta funkcja jest dostępna tylko dla aplikacji zatwierdzonych przez Apple, co zapobiega nadużywaniu kliknięć przez złośliwe aplikacje. Apple zostało poinformowane o podatności w zeszłym tygodniu, ale firma nie wydała jeszcze aktualizacji usuwającej opisywaną lukę.
Więcej informacji: https://thehackernews.com/2019/06/macOS-synthetic-click.html