หน้าแรก Vendors Apple พบช่องโหว่ Zero-Day บน macOS ที่ปล่อยให้แฮ็กเกอร์ทะลุมาได้

พบช่องโหว่ Zero-Day บน macOS ที่ปล่อยให้แฮ็กเกอร์ทะลุมาได้

171
แบ่งปัน

พบช่องโหว่ Zero-Day บน macOS ที่ปล่อยให้แฮ็กเกอร์ทะลุนักวิจัยด้านความปลอดภัยที่เคยพบวิธีแฮ็กฟีเจอร์ปกป้องความเป็นส่วนตัวที่แอปเปิ้ลเพิ่งเปิดตัวไปสดๆ จนเรียกเสียงฮือฮาไปเมื่อปีที่แล้วนั้น ล่าสุดก็ได้ออกมาประกาศพบวิธีข้ามฟีเจอร์ความปลอดภัยใหม่ผ่านฟีเจอร์ “จำลองการคลิก” ที่ทำให้เหมือนแทนการคลิกโดยผู้ใช้จริง โดยที่ผู้ใช้เองไม่รู้ตัวด้วยซ้ำ

เมื่อมิถุนายนปีที่แล้ว แอปเปิ้ลได้เปิดตัวฟีเจอร์ความปลอดภัยหลักบน MacOS ที่บังคับให้ทุกแอพพลิเคชั่นต้องได้รับการอนุญาต (“Allow” หรือ “Deny”) จากผู้ใช้ก่อนจะสามารถเข้าถึงข้อมูลที่อ่อนไหว หรือองค์ประกอบต่างๆ ของระบบ โดยเฉพาะกล้องหรือไมโครโฟน, ตำแหน่งที่ตั้ง, ข้อความ, และประวัติการท่องเว็บ

สำหรับฟีเจอร์เจ้าปัญหาที่เรียกว่า “Synthetic Clicks” นี้ เป็นฟีเจอร์ที่สร้างการคลิกเมาส์แบบล่องหนที่เขียนโปรแกรมกำหนดไว้ล่วงหน้าผ่านการทำงานของโปรแกรมซอฟต์แวร์ แทนที่จะเป็นตัวผู้ใช้ที่เป็นมนุษย์คลิกจริง

ฟีเจอร์นี้บิวท์อินฝังมากับ MacOS ในฐานะฟีเจอร์ที่ช่วยผู้ด้อยสมรรถภาพทางกาย (Accessibility Feature)ที่ปกติใช้ได้บนแอพที่แอปเปิ้ลอนุญาตเท่านั้น แต่นักวิจัยที่ชื่อ Patrick Wardle รายนี้ กลับพบช่องโหว่สำคัญที่เปิดให้แอพอันตรายที่ติดตั้งบนเครื่องเหยื่อสามารถใช้ฟีเจอร์นี้เพื่อคลิก Allow ข้างต้นได้โดยผู้ใช้ไม่รู้ตัว

ที่มา : thehackernews