木馬程式開採MacOS零時差漏洞暗中錄製螢幕

安全廠商Jamf Protect偵測小組發現，一隻名為XCSSET的木馬程式，可開採作業系統安全漏洞，繞過Mac電腦內建安全防護，偷偷錄製電腦螢幕取得敏感資料。所幸蘋果今天釋出macOS Big Sur 11.4更新解決該問題。

這隻XCSSET是去年趨勢科技首先發現。一開始，研究人員知道它專門利用兩個零時差漏洞。第一個用來竊取Safari瀏覽器cookies，蒐集重要資訊，包括帳號、密碼等，另一個則是繞過用戶通知，以安裝開發商版本的Safari應用程式。

Jamf團隊則在近日研究中，發現XCSSET作者還利用第三個零時差漏洞CVE-2021-30713，來繞過蘋果的透明度同意與控管（Transparency Consent and Control，TCC）框架。TCC主要用以控制應用可存取資源，像是同意影像協同軟體存取網路攝影機和麥克風，以進行虛擬會議。CVE-2021-30713漏洞可讓攻擊者未獲得用戶明顯同意下，取得完整硬碟存取、螢幕錄製或其他授權。

Jamf研究人員近日偵測到XCSSET變種活動有上升的情形，這隻惡意程式著重錄製螢幕畫面。XCSSET進入Mac電腦中後，會搜尋受害者電腦中常獲得螢幕共享的其他App，像是Zoom、WhatsApp和Slack，並在這些App中注射錄製螢幕的程式碼。這就等於附身在合法App上，並承襲它們的權限。然後又繼續以新的憑證簽發App bundle，以躲過macOS內建的公證（notarization）機制。

研究人員提醒，比起XCSSET，更需注意CVE-2021-30713這項漏洞，因為它能給予麥克風、Web攝影機及側盤側錄的存取權限，而進行錄音、監控或竊取信用卡帳號及密碼。

蘋果則於今天（5/25）釋出的macOS 11.4更新版中修補該漏洞，其他功能則包括強化數款AMD GPU、Podcast App中的付費訂閱支援，並修補了Safari、Preview在搜尋PDF文件時、Photos匯出等問題。