Microsoft: macOS-kwetsbaarheid mogelijk misbruikt door adware
Een kwetsbaarheid in macOS is mogelijk misbruikt door adware, zo stelt Microsoft in een analyse. Apple kwam vorige maand met een beveiligingsupdate. Via het beveiligingslek (CVE-2024-44133) is het mogelijk om de Transparency, Consent, and Control (TCC) van macOS te omzeilen en toegang tot gebruikersdata te krijgen, waaronder browsegeschiedenis, camera, microfoon en locatie, zonder dat gebruikers hier toestemming voor geven.
Het TCC-framework regelt tot welke zaken applicaties toegang hebben, zoals bijvoorbeeld bestanden en mappen, webcam, microfoon, bluetooth, spraakherkenning, locatie, downloads, kalender, iCloud-account en andere onderdelen. Normaliter krijgt een applicatie hier pas toegang tot nadat de gebruiker toestemming heeft gegeven. Om misbruik te voorkomen is TCC alleen toegankelijk voor apps met volledige schijftoegang.
Wanneer een app bijvoorbeeld toegang tot de microfoon of webcam wil krijgt de gebruiker een pop-up, of dit moet via de systeeminstellingen worden ingesteld. Onderzoekers van Microsoft ontdekten dat ze de TCC-beveiliging voor de Safari-browserdirectory konden verwijderen. Vervolgens was het mogelijk een configuratiebestand in deze directory aan te passen en zo zonder toestemming toegang tot gebruikersgegevens te krijgen.
Microsoft waarschuwde Apple over het probleem en voegde details over het omzeilen van de TCC-beveiliging toe aan de eigen beveiligingssoftware. Het techbedrijf ontdekte dat de methode mogelijk al door Adload-adware wordt gebruikt, maar heeft hier geen volledig bewijs voor. Apple heeft de kwetsbaarheid opgelost met macOS Sequoia 15 en stelt dat alleen via mobile device management (MDM) beheerde apparaten kwetsbaar waren. Daarnaast speelde het probleem alleen bij Safari, aangezien alleen Apples browser de nieuwe door TCC geboden beveiliging kan gebruiken.
Dan kun je wel zeggen dat anderen er geen last van hebben maar enkel als je geen gebruik maakt van Apple OS.
Dan kun je wel zeggen dat anderen er geen last van hebben maar enkel als je geen gebruik maakt van Apple OS.
Even goed lezen: in macos, dus de software die draait op een macbook, mac mini en dat soort dingen, heet macOS, en daar kun je alles op draaien wat je wil. Dus Chrome maakt gebruik van eigen engine. Firefox op macOS heeft niets vandoen met iets dat in safari zit.
Wat je waarschijnlijk bedoelt: in iOS, het OS voor mobiele dingen zoals een iPad en iPhone, verplicht om gebruik te maken van safari webkit. (Wat volgens mij op losse schroeven staat in de EU, maar weet het even niet zeker
Dan kun je wel zeggen dat anderen er geen last van hebben maar enkel als je geen gebruik maakt van Apple OS.
Niet correct dit was voorheen op Apple OS voor mobiele devices (iPhone/iTab) niet op Mac OS wat voor (Macbooks oa is)
Daar kon je relatief je eigen browser engine op gebruiken.
Dit gaat ook zover zichtbaar nu om alleen devices middels MDM (mobile device management)
Meeste gebruikers todat er tegen bericht is zullen geen risico lopen en up to date zijn is wel handig.
Daarnaast pakken deze bedrijven zelf ook een hoop metadata alvorens deze via psuedoniemen te verkopen aan derden.
De mens is het product van hun machines geworden als koeien aan een lijntje terwijl ze gemolken worden.
Ik gebruik geen van deze producten en ik adviseer ieder ander hetzelfde te doen.
Neem GNU/Linux, AOSP en FLOSS software in de hand, dan bezit men tenminste zelf de software in plaats van het in bruikleen te nemen na het tekenen van de terms and agreements.
Niks is feilloos, maar dit is stukken beter dan je ziel/metadata verkopen aan een zielloos bedrijf.
Ja elkaars vliegen vangen. Regelmatig is het een kwestie van kijken met een andere bril naar zaken.
Daarnaast pakken deze bedrijven zelf ook een hoop metadata alvorens deze via psuedoniemen te verkopen aan derden.
De mens is het product van hun machines geworden als koeien aan een lijntje terwijl ze gemolken worden.
Ik gebruik geen van deze producten en ik adviseer ieder ander hetzelfde te doen.
Neem GNU/Linux, AOSP en FLOSS software in de hand, dan bezit men tenminste zelf de software in plaats van het in bruikleen te nemen na het tekenen van de terms and agreements.
Niks is feilloos, maar dit is stukken beter dan je ziel/metadata verkopen aan een zielloos bedrijf.
Dit gaat om een *lokale*, en overigens niet meer dan *vermeende*, bypass. Je hebt volledig gelijk in te stellen dat data die met derde partijen gedeeld wordt volledig vogelvrij is. Niet alleen door die `sleepwet`, maar ook door de `Foreign Intelligence Surveillance Act` (VS) en nog veel meer door het vervelende feit dat opsporings- en inlichtendiensten zich zelfs aan de magere beperkingen van dat soort werkingen niks gelegen laat liggen.
De operationele praktijk van Apple is wel anders dan die van horrorshows als Google, Meta, Microsoft, Oracle etc. Het verdienmodel van Apple is *niet* geworteld in het misbruiken en ten gelde maken van gebruikersdata; de bedrijfscultuur is ook nogal anders. Als consequentie wordt data dan ook *niet* gedeeld, of, waar een gebruiker voor iCloud kiest word end-to-end encryption ingezet, en kan die data alleen op de eigen devices ontsleuteld worden ("protecting your data even in case of a data breach in the cloud").
Zo'n lokale bypass is natuurlijk erg genoeg. Maar gooi het niet op één hoop met die structurele datarovers en -misbruikers.
Dan kun je wel zeggen dat anderen er geen last van hebben maar enkel als je geen gebruik maakt van Apple OS.
Apple OS? Door dit soort onnauwkeurigheden te schrijven vraag ik me af of je het artikel uberhaupt gelezen hebt en niet gelijk al in de pen springt met een rode waas voor je ogen om een post te maken.
Want wat bedoel je nou, iOS of MacOS? als het over iOS zou gaan dan dan had je tot versie 17.4 gelijk (in de EU).
https://www.theverge.com/2024/1/25/24050478/apple-ios-17-4-browser-engines-eu
Bedoel je MacOS? wat gewoon in de eerste regel van het artikel staat. Dan slaat je opmerking echt helemaal nergens op en lijkt het het vooral napraterij. MacOS is gewoon open.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
