利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制

前NSA駭客、現任安全公司Digita Security研究長Patrick Wardle發現 macOS High Sierra有一去年發現可讓駭客執行合成點擊攻擊的漏洞，現在又再次出現。

Wardle上周在Def Con駭客大會上公佈這項研究。合成點擊原本是macOS中提供無法按滑鼠的身障人士的一項功能，利用程式達到點擊效果。為防止濫用，macOS加入「User-Approved Kext」的安全功能，要求使用者必須在系統跳出的安全對話框中，以滑鼠點擊「允許」鍵才能放行，以防有人利用合成點擊存取敏感資料或載入惡意程式。

不過Wardle指出mac OS High Sierra有個能放行合成點擊的漏洞CVE-2017-7150。在macOS中，滑鼠點擊按（down）與放（up）被視為二個動作。他偶然發現，如果在up之前以程式碼製造連續二個down，就會被High Sierra誤認為是合法的手動點擊，等於是製造「虛擬」或隱形點擊行為，模擬點選「OK」、「允許」等動作。

他指出，結合合成點擊和該漏洞的結果非常危險，能輕鬆繞過蘋果的User-Approved Kext及第三方安全工具，執行不可信賴的app、洩露keychain所有密碼、安裝系統核心擴充程式、授權對外網路連線，所有行為通通都可以，全部都不需要使用者點滑鼠。

事實上，Wardle去年就曾揭露過這個的漏洞，蘋果也曾經修補過。但他指出，這顯示蘋果的修補完全沒有用，只要執行零時差攻擊，即讓未獲授權的程式碼執行合成事件。

Wardle自己都頗為驚訝，因為只要簡單二行程式碼就能完全瓦解這個安全機制，Apple Insider引述因為太簡單了，他都不好意思說出來，「雖然我替蘋果更感到不好意思」。

不過他表示，這項漏洞僅影響High Sierra。不會影響之前mac OS版本，而下一版的10.14 Mojave也已經完全封鎖合成事件。