Een ethische hacker heeft een kwestbaarheid in Apple’s macOS blootgelegd. Het gaat om een ‘process injection vulnerability’ waarbij applicaties op basis van de applicatietoolkit macOS AppKit kunnen worden misbruikt om toegang te krijgen tot andere applicaties en het systeem zelf. Apple heeft de kwetsbaarheid inmiddels opgelost met een update in macOS Monterey.
De kwetsbaarheid werd ontdekt door een Thijs Alkemade die werkt voor Computest Security, dat gespecialiseerd is in cybersecurity en DevOps. Door de process injection vulnerability in macOS te misbruiken zouden kwaadwillenden via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties en in staat zijn deze te misbruiken. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot het hele systeem. Daarmee zou men bijvoorbeeld ook redelijk eenvoudig malware kunnen installeren. “Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties”, zegt Alkemade. “Het betreft een kwetsbaarheid op een onverwachte plek, namelijk in een functionaliteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het systeem als je je computer uitschakelt aan de vensters die je open hebt staan opnieuw te openen zodra je het systeem weer opstart. Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.”
“Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken”, zegt Alkemade. “Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen.”
Alkemade meldde het beveiligingslek bij Apple en gaf bovendien informatie over hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit te brengen voor macOS Monterey. Verder zijn er wijzigingen aangebracht in de documentatie van Appkit zodat ontwikkelaars nieuwe applicaties en functies kunnen bouwen zonder dat er sprake is van de genoemde kwetsbaarheid.
