“Cliques invisíveis” no macOS Mojave expõe utilizadores a ataques graves

Em agosto do ano passado, Patrick Wardle, um ex-hacker da NSA que agora é diretor de pesquisa da Digita Security, encontrou uma falha grave no então macOS High Sierra. Essa falha de segurança foi apresentada por ele na DEF CON 2018 em Las Vegas, EUA.

Essa falha grave, permitia que hackers conseguissem efetuar ataques remotos através dos chamados cliques invisíveis, também conhecidos como cliques sintéticos. Para simplificar, pode-se dizer que estes ataques são em tudo semelhantes aos cliques dum rato físico. Porém realizados por software, de forma silenciosa, e sem que o utilizador se aperceba.

Contudo sempre se pensou que a Apple corrigiria essa falha, de forma definitiva com o lançamento do macOS Mojave. Embora as proteções de privacidade, implementadas no Mojave, dificultem o acesso de software malicioso às informações privadas, a verdade é que não é bem assim, e o macOS continua com problemas nos chamados cliques invisíveis.

Mesmo que o utilizador bloqueie a ação, o problema dos cliques invisíveis continua presente no Mojave.

Patrick Wardle, revelou esta falha zero-day na sua conferência Objective By The Sea, no Mónaco.

Como funciona a falha de segurança?

Segundo Patrick, esta falha permite que hackers consigam aceder aos contactos, agenda, localização e mensagens. Também permite que software manipulado ligue a webcam e o microfone de um Mac sem consentimento do utilizador. Pior ainda, ter acesso a ferramentas mais profundas, como o Terminal e o kernel da máquina.

Patrick Wardle

Um exemplo duma janela exibida para um utilizador, quando algum software pede acesso a informações pessoais, como a sua localização.

TechCrunch

Nesta situação as janelas de permissão podem ser subvertidas com um clique invisível feito com códigos maliciosos.

Um exemplo dado por Patrick, é o VLC, que precisa dos cliques sintéticos para fazer tarefas básicas e ativar plugins.

Patrick disse que é possível usar o VLC como um veículo de entrega de um plug-in malicioso, para criar um clique invisível através dum comando, sem a permissão do utilizador.

Para algum software correr nas versões recentes do macOS, a Apple permite que continue a realizar os cliques, desde que tenham um certificado digital de segurança válido.

Normalmente, o software é assinado com um certificado digital para provar que é original e não foi adulterado. Se for modificado para incluir malware, o certificado geralmente sinaliza um erro e o sistema operativo não executa o software.

No entanto, um erro no código da Apple faz com que o macOS só verifique se existe o certificado digital. Não verifica corretamente a autenticidade do software da lista de permissões.

Quais as consequências?

Com isto tudo, software comprometido, pode permitir a instalação de outro software, potencialmente malicioso, ou mesmo aceder às chaves do sistema. Além dos riscos que já foram mencionados acima, como acesso aos contactos, agenda, localização e mensagens, o Terminal entre outros.

Patrick informou a Apple sobre a falha de segurança, antes de a tornar pública. Mas a gigante de Cupertino ainda não lançou um patch para corrigir a falha.

Só nos resta aguardar para que o problema seja resolvido o mais rápido possível.

7 Shares: