Microsoft telah mengungkapkan rincian tentang kelemahan keamanan yang kini telah ditambal dalam kerangka Transparansi, Persetujuan, dan Kontrol (TCC) Apple di macOS yang kemungkinan besar dieksploitasi untuk mengakali preferensi privasi pengguna dan mengakses data.
Kekurangannya, yang diberi nama kode HM Surf oleh raksasa teknologi itu, dilacak sebagai CVE-2024-44133. Masalah ini telah diatasi oleh Apple sebagai bagian dari macOS Sequoia 15 dengan menghapus kode yang rentan.
HM Surf “melibatkan penghapusan perlindungan TCC untuk direktori browser Safari dan memodifikasi file konfigurasi di direktori tersebut untuk mendapatkan akses ke data pengguna, termasuk halaman yang dijelajahi, kamera perangkat, mikrofon, dan lokasi, tanpa persetujuan pengguna,” Jonathan Bar Atau dari tim Intelijen Ancaman Microsoft berkata.
Microsoft mengatakan perlindungan baru ini terbatas pada browser Safari milik Apple, dan pihaknya bekerja sama dengan vendor browser besar lainnya untuk mengeksplorasi lebih jauh manfaat dari memperkuat file konfigurasi lokal.
HM Surf mengikuti penemuan Microsoft atas kelemahan Apple macOS seperti Shrootless, powerdir, Achilles, dan Migraine yang memungkinkan pelaku kejahatan menghindari penegakan keamanan.
Meskipun TCC adalah kerangka keamanan yang mencegah aplikasi mengakses informasi pribadi pengguna tanpa persetujuan mereka, bug yang baru ditemukan ini dapat memungkinkan penyerang untuk melewati persyaratan ini dan mendapatkan akses ke layanan lokasi, buku alamat, kamera, mikrofon, direktori unduhan, dan lainnya di cara yang tidak sah.
Akses diatur oleh serangkaian hak, dengan aplikasi milik Apple seperti Safari yang memiliki kemampuan untuk sepenuhnya menghindari TCC menggunakan hak “com.apple.private.tcc.allow”.
Meskipun hal ini memungkinkan Safari untuk mengakses izin sensitif secara bebas, Safari juga menyertakan mekanisme keamanan baru yang disebut Hardened Runtime yang mempersulit eksekusi kode arbitrer dalam konteks browser web.
Meskipun demikian, saat pengguna mengunjungi situs web yang meminta akses lokasi atau kamera untuk pertama kalinya, Safari akan meminta akses melalui popup mirip TCC. Hak ini disimpan per situs web dalam berbagai file yang terletak di direktori “~/Library/Safari”.
Eksploitasi HM Surf yang dirancang oleh Microsoft bergantung pada melakukan langkah-langkah berikut –
- Mengubah direktori home pengguna saat ini dengan utilitas dscl, sebuah langkah yang tidak memerlukan akses TCC di macOS Sonoma
- Memodifikasi file sensitif (misalnya, PerSitePreferences.db) dalam “~/Library/Safari” di bawah direktori home sebenarnya pengguna
- Mengubah direktori home kembali ke direktori asli menyebabkan Safari menggunakan file yang dimodifikasi
- Meluncurkan Safari untuk membuka halaman web yang mengambil snapshot melalui kamera perangkat dan mengambil lokasinya
Serangan itu dapat diperluas lebih jauh untuk menyimpan seluruh aliran kamera atau secara diam-diam menangkap audio melalui mikrofon Mac, kata Microsoft. Browser web pihak ketiga tidak mengalami masalah ini karena mereka tidak memiliki hak pribadi yang sama seperti aplikasi Apple.
Microsoft mencatat bahwa mereka mengamati aktivitas mencurigakan yang terkait dengan ancaman adware macOS yang dikenal bernama AdLoad yang kemungkinan mengeksploitasi kerentanan, sehingga penting bagi pengguna untuk mengambil langkah-langkah untuk menerapkan pembaruan terkini.
“Karena kami tidak dapat mengamati langkah-langkah yang diambil menuju aktivitas tersebut, kami tidak dapat sepenuhnya menentukan apakah kampanye AdLoad mengeksploitasi kerentanan selancar HM itu sendiri,” kata Bar Or. “Penyerang yang menggunakan metode serupa untuk menyebarkan ancaman yang lazim meningkatkan pentingnya perlindungan terhadap serangan menggunakan teknik ini.”