前NSA研究員發現Mac漏洞 安全提示可被“合成點擊”繞過

去年6月的蘋果世界開發者大會(WWDC)上，高級副總裁 Craig Federighi 做了兩個小時的主旨演講，突出 MacOS Mojave 新隱私功能——應用若想訪問敏感組件及數據(包括攝像頭、麥克風、消息及瀏覽歷史)，必須徵得用戶的明確同意，也就是彈框詢問用戶是點擊 “允許” 還是 “拒絕”。觀眾自然盡職盡責地鼓掌捧場。

但幾個月後，前美國國家安全局(NSA)安全研究員 Patrick Wardle 在夏威夷毛伊島上觀看這段主旨演講時，他對該新安全功能產生了疑問。

此前一年，他曾兩度發現可使惡意軟件暗中點過這些安全提示的方法，詢問彈框在此類方法面前完全失去了作為安全措施的功用。Wardle將這兩個可執行安全提示點擊攻擊的漏洞提交給蘋果後——一個在WWDC主旨演講前，另一個在演講2個月後，蘋果修復了這些漏洞。如今，Wardle就在坐看蘋果將這些安全措施營銷為其在即將推出的操作系統中致力於安全的正面典型。

就在6月2日，今年WWDC前夕，Wardle第三次在這些防護措施中挖了個洞。利用Mojave中的一個漏洞，Wardle又一次證明了任意自動化惡意軟件都可以利用MacOS “合成點擊” (synthetic click) 功能輕鬆通過安全提示彈框，令攻擊者毫無障礙地訪問主機的攝像頭、麥克風、地理位置數據、聯繫人、消息，甚至修改系統內核，向操作系統最深處插入惡意代碼。

在自己組織的 “Objective by the Sea” 討論會前，Wardle向媒體透露：

合成點擊——以程序而非鼠標或觸控板上的人類手指產生的點擊動作，一直以來都是實現自動化和殘障用戶輔助功能的有力工具。為封鎖合成點擊的惡意利用，MacOS要求只有被用戶添加到允許列表中的應用才可以使用該功能。但去年11月份，專注蘋果技術的博主 Howard Oakley 發現，這條規則有幾個例外，一些應用被MacOS系統默認添加到了允許列表中。這份簡短而奇怪的應用列表包含了幾個版本的VLC播放器、Adobe Dreamweaver、Steam和其他幾個程序，這幾個應用都能不經過用戶預先批准就使用合成點擊。

Wardle在今年4月看到了Oakley有關這份列表的帖子。讀後一小時，Wardle就宣稱自己找到了誘騙MacOS將惡意軟件當成該白名單中合法程序的方法。由於蘋果在該名單代碼簽名 (代碼簽名即核查應用代碼是否以合法密鑰簽名以自證身份的一個功能) 實現上的疏漏，Wardle發現只需簡單修改已批准程序將惡意軟件包含進去，比如讓VLC將他自己的惡意軟件包進去，就能完美避過安全提示。儘管代碼被改過，MacOS仍會將該帶毒程序識別為合法VLC的一個副本，允許該程序隨意產生合成點擊。

雖說在合成點擊點掉之前 “允許” 或 “拒絕” 安全提示框仍會短暫顯示在屏幕上，Wardle表示，他的惡意軟件也可以弄暗屏幕，讓屏幕看起來好像計算機進入睡眠狀態一樣。也就是說，在他執行合成點擊攻擊時用戶根本沒有機會看到安全提示框。

截至目前，蘋果公司未對媒體有關該新合成點擊漏洞的評論請求予以任何迴應。

Wardle承認，他的漏洞利用本身不能夠讓遠程攻擊者通過互聯網黑掉Mac機。攻擊者需已經擁有受害主機的遠程訪問權，或已經在受害主機上安裝了惡意應用。但如果黑客能夠建立該初始立足點，比如通過網絡釣魚電子郵件中的惡意附件或其他常見技術，也就能夠讓惡意軟件更深入到目標系統的底層了。

最糟糕的情況下，Wardle的合成點擊攻擊可被用於安裝所謂的內核擴展——需用戶點擊 “允許” 才能夠執行的操作系統內核修改。內核擴展類似Windows中的驅動，必須經由合法開發者加密簽名才能被安裝進MacOS。但黑客有時候會安裝帶有安全漏洞的合法內核擴展，然後用該漏洞獲取進入目標機器最深處的全部權限。去年披露合成點擊攻擊的時候Wardle就說過：只要你能感染內核，你就能看到所有東西，繞過任何安全機制，隱藏進程，嗅探用戶擊鍵。基本上相當於全完了。

Wardle這次披露的Mojave漏洞，標誌著他在暴露蘋果合成點擊安防措施漏洞上的帽子戲法。早些時候的研究中他已經證明，儘管MacOS試圖封鎖安全提示框上的合成點擊，他的惡意軟件仍可利用所謂 “鼠標鍵” 的不起眼功能，用鍵盤代替鼠標來突破MacOS的封鎖。蘋果隨後修復了這一漏洞，但幾個月之後，Wardle發現自己能用更奇怪的方法可以繞過這個補丁。就像使用實體鼠標一樣，合成點擊也包含兩個指令(動作)，一個 “按下”，一個 “放開”。Wardle發現，不知怎麼回事，兩次 “按下” 也會被解釋為一次點擊動作，而且不會觸發安全提示。利用這個漏洞，Wardle成功點過了阻擋他執行內核擴展攻擊的安全提示。

Wardle稱，自己是在公開披露前一週才通報給蘋果的，這點時間差確實不太夠蘋果做漏洞修復。但看蘋果在同類型漏洞上一而再再而三地栽跟頭，他實在是對蘋果的粗心大意忍無可忍了，所以希望通過公開該未修復漏洞來施加更多壓力。

蘋果在修復同一安全機制漏洞上的連續失敗——該安全機制還是在WWDC上作為賣點大肆宣傳的，說明該公司的安全方法存在更深層次的問題。