爱板网的新老用户,告诉你一个好消息,爱板网(www.eeboard.com)将在近期并入电路城(www.cirmall.com)网站,我们将爱板网中丰富的开发板资料与电路城大量优质的电路方案相结合,旨在为广大工程师朋友打造一站式的技术资源库,你所需的电路设计技巧、开发板评测、电子产品拆解、硬件解决方案,都可以在合并后的电路城网站找到,助力你的技能进阶。让我们一起期待一个全新的体验吧!
X
现在的位置: 首页资讯>正文

macOS 仍面临“合成点击”这一问题

2018年08月15日 作者: 暂无评论 607+ 0

据外媒报道,安全研究人员在 macOS High Sierra 上发现了一个漏洞,使得攻击者能够在受害者计算机上模仿鼠标的点击操作。更糟糕的是,这个在无意中被发现的漏洞,竟然能够绕过安全提示,并彻底破坏 Mac 。Digita Security 首席研究官 Patrick Wardle 在 Defcon 计算机安全会议上透露,这一“合成”事件 —— 即基于软件的“界面对象点击”—— 仍然是 macOS 面临的一大问题。

据 Threat Post 报道,尽管苹果试图修复这一漏洞,但新发现是,“合成点击”依然能够在某些情况下发挥作用。

在允许特定活动发生之前,可以使用恶意软件中的‘合成点击’来绕过必须经由用户同意的安全提示。

这可以简单地启用敏感元素(如 Keychain)访问,以及加载内核扩展等风险较高的活动。
此前,“合成点击”问题是在一个名为“用户辅助内核扩展加载”的新安全功能中解决的。

该功能强制需要用户通过安全系统界面中的‘允许’按钮,手动批准加载内核扩展。

在 macOS High Sierra 中,操作系统已过滤掉可能影响安全警报的‘合成点击’,使攻击者无法使用该技术。
Wardle 在演讲中承认,他在工作时意外发现了一个 High Sierra 的缺陷,但承认其绕过代码存在着一定的限制。

鼠标单击被解释为 macOS 中的两个动作,即单击和释放的‘向下’和‘向上’元素。

然而两次连续的‘合成向下’事件,竟然被 High Sierra 误认为是手动的合法点击。

至于错误的‘向上’事件,似乎来自 macOS 本身并绕过了过滤系统。
在复制和粘贴“合成鼠标点击代码”时,Wardle 犯了一个错误 —— 忘记更改“向上”事件的标志值。

结果在编译代码之后,发现其竟然允许‘合成点击’功能 —— 两行代码,就完全打破了这种安全机制。

令人难以置信的是,这种琐碎的攻击竟然成功了。我都不好意思谈论这个错误,但相比之下,苹果那边显然更加尴尬。
需要指出的是,该漏洞仅影响 High Sierra,而不溯及早期的 macOS 版本,所以它可能是暂时引入的。

为全面反之此类攻击,Wardle 建议 macOS 10.14 Mojave 应该彻底阻止所有‘合成事件’—— 但这也可能影响到一些合法的应用程序。

原文地址:https://www.eeboard.com/news/mac-11/

搜索"爱板网"加关注,每日最新的开发板、智能硬件、开源硬件、活动等信息可以让你一手全掌握。推荐关注!
【微信扫描下图可直接关注】

发表评论

相关文章

苹果秋季新品发布会时间定了——9月13日凌晨1点

苹果秋季新品发布会信息汇总:中国特供双卡iPhone XS,iOS 12拯救老机型

iPhone新机命名iPhone XS

iPhone XS首次曝光:苹果启用全新配色! 从最新爆料的情况来看,新一代iPhone命名应该不会出现iPhone X Plus这样的名称了,而取而代之的是iPhone XS的称号,这也很符合今年是iPhone“S”年的...

有点糟心!iOS 12公测版反复提醒升级Bug

苹果iOS 12最新公测版遇Bug,解锁或下拉菜单提醒升级

笑出声系列——美的电磁炉摇身一变成发布会邀请函

苹果发布会邀请函竟撞脸美的电磁炉 根据发布会的“金色圈圈”以及9to5MAC的消息,苹果有可能会推出全新的金色配色,并且新机将会命名为iPhone XS。另一方面,“金色圈圈”也有可能暗示了苹果会发...

新iPhone发布在即,盘点发布会邀请函

再过不到几周的时间,苹果秋季发布会即将在史蒂夫乔布斯剧院(Steve Jobs Theater)举行,届时,新一代iPhone将正式亮相。按照惯例,苹果会在发布会前的一周,向个人或者媒体发送邀请函,邀...