macOS-Lücke: Spionieren über Teams und andere Apps

Microsoft hat Details zu einem Bug publiziert, mit dem es möglich war, den Systemschutz TCC zu umgehen, der eigentlich Mac-Nutzer vor Datenabgriff bewahrt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge
Bronzestatue eines Paparazzo

(Bild: Kurt Bauschardt CC BY-SA 2.0)

Von
  • Ben Schwan

Microsoft hat Informationen zu einer in macOS 12.1 geschlossenen Lücke in Apples Betriebssystem publiziert, über die Apps unerwünscht Zugriff auf sensible Komponenten wie Mikrofon oder Kamera erlangen konnten. Der Bug betrifft die Technik Transparency, Consent, and Control (TCC), mit der Nutzer eigentlich die Kontrolle darüber haben sollten, welche Apps auf welche Systembereiche zugreifen können. TCC ließ sich aber mit einem Trick umgehen, so der Office-Hersteller.

Das Problem wurde von Microsoft Powerdir getauft. Die Lücke trägt die CVE-ID 2021-30970 und wurde im jüngsten Monterey-Update behoben. "Wir empfehlen allen Nutzern, zu aktualisieren", schreibt der Konzern. Das Microsoft 365 Defender Team demonstriert in einem Beispiel-Exploit, wie die hauseigene Teams-App missbraucht werden könnte. Dabei lässt sich die vorhandene TCC-Datenbank einer Anwendung gegen eine manipulierte Version austauschen. Ganz neu ist die Umgehung von TCC nicht – schon 2020 gelang es Sicherheitsexperten, TCC "komplett zu knacken", was Apple per Patch beheben musste.

Mehr von Mac & i Mehr von Mac & i

Microsofts Ansatz ist insofern neu, dass es gelang, Apples eigenes configd-Binary zu manipulieren, das weitreichende Rechte hat. Über sogenannte Configuration Agents luden die Sicherheitsexperten dann Code nach. configd fehlt(e) auch das Hardened-Runtime-Flag, so dass es möglich war "komplett unsignierten Code in es zu laden". Der tccd-Dämon, der die TCC-Verwaltung übernimmt, läuft systemweit als Root sowie auch einzeln im Namen des Nutzers.

Darüber werden unter anderem der Zugriff (wie erwähnt) auf Mikrofon und Kamera, aber auch Ortsangaben, vollständiger Zugriff auf die SSD (Full Disk Access), Screenshots und Zugriff auf iCloud, Erinnerungen, Kalender und einzelne Ordner wie den Desktop gesteuert. Bei der Untersuchung der Full-Disk-Access-Funktion stellte Microsoft außerdem fest, dass Nutzer mit diesen Rechten die TCC-Datenbank bearbeiten konnten.

Apple hat in macOS 12.1 TCC gleich an vier Stellen angefasst. Neben der Microsoft-Lücke war es auch möglich, "geschützte Teile des Dateisystems" zu verändern sowie einen Denial-of-Service-Angriff gegen Endpoint-Security-Kunden zu fahren. Außerdem entdeckte ein Zoom-Mitarbeiter eine weitere Möglichkeit, die Datenschutzeinstellungen zu umgehen. (bsc)