Ein Team von Sicherheitsexperten behauptet, eine „neue Klasse“ von Schwachstellen entdeckt zu haben, die es Angreifern ermöglichen könnten, die Sicherheitsmaßnahmen des Technologiegiganten Apple in iOS und macOS zu umgehen, um auf sensible Daten von Benutzern zuzugreifen.
Die Schwachstellen haben CVSS-Bewertungen (Common Vulnerability Scoring System) zwischen 5,1 und 7,1 und einen Schweregrad von mittel bis schwer. Schädliche Software und Exploits können möglicherweise auf personenbezogene Daten wie Nachrichten, Standortinformationen, Anrufverlauf und Bilder eines Benutzers zugreifen, indem sie diese Schwachstellen ausnutzen.
Die Ergebnisse von Trellix stimmen mit früheren Arbeiten von Google und Citizen Lab überein, die , im Jahr 2021, identifizierte eine neue Zero-Day-Schwachstelle namens ForcedEntry, die vom israelischen Spyware-Hersteller NSO Group ausgenutzt wurde, um sich auf Anweisung seiner Regierungskunden aus der Ferne und verdeckt in iPhones zu hacken.
Um die Verwendung zu verhindern Nach dem Angriff verbesserte Apple anschließend seine Gerätesicherheitsabwehr, indem es neue Code-Signing-Schutzmaßnahmen einschloss, die kryptografisch bestätigen, dass die Software des Geräts vertrauenswürdig ist und nicht verändert wurde. Trellix behauptete jedoch, dass Apples Schutzmaßnahmen nicht ausreichen, um ähnliche Angriffe zu stoppen.
In einem Blogbeitrag schrieb Trellix, dass die neuesten Probleme NSPredicate betreffen, ein Programm, mit dem Programmierer Code filtern können. Nach dem ForcedEntry-Fehler hat Apple die Beschränkungen für NSPredicate mithilfe des NSPredicateVisitor-Protokolls verstärkt. Dennoch behauptete Trellix, dass fast alle NSPredicateVisitor-Implementierungen vermieden werden könnten.
Apple hat diese Probleme jedoch Berichten zufolge mit iOS 16.3 und macOS 13.2 behoben, und Benutzer sollten ihre iPhones und MacBooks aktualisieren, um sicher zu bleiben.
Sicherheitsexperten berichteten, dass coreduetd, eine Software, die Informationen über das Benutzerverhalten auf dem Gerät sammelt, die erste Schwachstelle war, die sie unter dieser neuen Klasse von Schwachstellen entdeckten.
Das Senden eines böswilligen NSPredicate und das Ausführen von Code mit den Privilegien dieses Prozesses ist für einen Angreifer mit Codeausführung in einem Prozess mit den erforderlichen Berechtigungen wie Nachrichten oder Safari möglich. Der Kalender, das Adressbuch und die Bilder des Benutzers sind für den Angreifer dank eines Prozesses zugänglich, der unter macOS als root ausgeführt wird, sagten die Forscher.