Falha no macOS permite que se falsifiquem autorizações de aplicativos

Siga o Olhar Digital no Google Discover

Tudo sobre Apple

ver mais

Nos PCs e notebooks que usam o sistema operacional Mac, quando um aplicativo deseja ter acesso a dados privados do usuário, é necessário solicitar permissão pode meio de uma janela pop-up, e somente se o usuário clicar em “Ok”, o sistema concederá acesso. Mas, como mostrou um especialista em segurança recentemente, é possível falsificar o “clique” que concede essa permissão de compartilhamento de dados.

Ofertas

Vendido por Amazon

Patriot Viper Gaming V570 RGB Blackout Edition Pro Laser Mouse até 12.000 Dpi

Por R$ 99,00

Vendido por Amazon

soundcore Q20i da Anker, Fone de Ouvido Bluetooth com Cancelamento de Ruído Híbrido Ativo, Headphone Sem Fio, 60h Bateria, Áudio Hi-Res, Graves Potentes, App Personalização, Modo Transparência, Azul

Por R$ 311,29

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Rosa)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (preto)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Smart TV TCL 43 Polegadas LED Full HD S5400A Android TV WiFi Bluetooth Google Assistente 43S5400A

De: R$ 1.899,00
Por: R$ 1.449,99

Vendido por Amazon

Garmin Relógio Instinct 3 Verde 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 5.899,00
Por: R$ 3.799,00

Vendido por Amazon

SEMP SMART TV 55” 55S62 4K UHD GOOGLE TV

De: R$ 2.499,00
Por: R$ 1.999,99

Vendido por Amazon

Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais

De: R$ 1.199,00
Por: R$ 999,00

Vendido por Amazon

soundcore AeroClip da Anker, Fones de Ouvido Blutooth Abertos, Clip-On, Conforto Adaptativo, Chamadas Claras com 4 Microfones e IA, Ajuste Estável, Drivers de 12mm para Graves Potentes, Rosa

De: R$ 1.199,00
Por: R$ 889,00

Vendido por Amazon

Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa

De: R$ 123,90
Por: R$ 79,90

Vendido por Amazon

Mouse Sem Fio Logitech M240 com Conexão Bluetooth, Clique Silencioso, Design Ambidestro Compacto, Bateria de 18 Meses, Compatível com Windows, macOS, ChromeOS - Branco

De: R$ 95,90
Por: R$ 59,90

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Projetor BYINTEK U14 4K 1080P WiFi Smart Full HD Projetor, Foco Automático, 1250 ANSI Lumens, Totalmente Selado à Prova de Poeira, Alto-falante Integrado de 12 W, Home Theater móvel

De: R$ 1.799,00
Por: R$ 1.709,05

A falha foi descoberta por Patrick Wardle, ex-hacker da NSA e da NASA, e que agora é um especialista em encontrar falhas zero day (dia zero) no MacOS. Ele utilizou o popular reprodutor multimídia VLC para inserir um plugin malicioso no sistema operacional da Apple.

Wardle explica que “No VLC, adicionei um novo plugin que, quando o programa for carregado, ele poderá ser executado, fazendo com que um clique falso seja permitido. Isso acontece, pois o sistema reconhece que é o VLC, ou seja, não valida se o software foi manipulado e, assim, meu clique sintético pode acessar a localização, a câmera ou o microfone do usuário.”

Dessa forma, qualquer invasor pode explorar uma versão modificada de qualquer aplicativo da chamada “lista branca” do Mac, em que ficam localizados os aplicativos que tem a autorização para criar esses cliques automáticos para que não parem de funcionar.

Nas últimas atualizações do Mac, os pedidos de autorização devem vir assinados com um certificado digital, que comprova a autenticidade dos aplicativos e os impede de serem executados se forem modificados. Um bug no código do sistema operacional faz com que o sistema verifique se o certificado foi assinado e não foi modificado, mas não verifica se o programa em si passou pelas mesmas alterações.

Com isso, é possível acessar informações particulares como contatos, mensagens, locais e também ativar o microfone ou a webcam sem que o usuário tenha conhecimento. Wardle disse que informou a Apple da falha na última semana, porém, até o momento, nenhuma atualização que corrige o problema foi liberada.

Via: Genbeta