Znaleziono metodę pozwalającą specjalnie spreparowanym aplikacjom wykradać hasła i dane użytkowników bezpośrednio z ekranu komputera. Luka ta dotyczy wszystkich aplikacji na macOS, łącznie z tymi dostępnymi w Mac App Store, które przechodzą taki sam proces akceptacji jak te na systemie iOS.

Sposób ten znalazł Felix Krause, twórca aplikacji dla developerów fastlane, który w wolnych chwilach zajmuje się badaniem bezpieczeństwa i prywatności użytkowników systemów Apple.
Funkcja, której mogą użyć nieuczciwi developerzy nazywa się CGWindowListCreateImage. Normalnie jest ona używana przez aplikacje, które pozwalają na robienie zrzutów ekranu bądź też nagrywanie ekranu (np. livestreaming).
To właśnie dzięki nadużywaniu tej funkcji możliwe jest wykradzenie danych użytkownika.

Jak to działa?

Sposób działania tej metody jest dosyć prosty, ale bardzo sprytny.
Każda aplikacja na macOS (w tym także te z Mac App Store!) dzięki funkcji CGWindowListCreateImage może:

• Zrobić zrzut ekranu bez wiedzy użytkownika
• Zrzut ekranu może być wykonany nawet jeżeli aplikacja, która go wywołuje działa aktualnie w tle
• Użyć podstawowego algorytmu do rozpoznawania tekstu (OCR) w celu ‘przeczytania’ zawartości ekranu i przekonwertowania go na tekst
• Uzyskać dostęp do wszystkich ekranów podłączonych do komputera

Co się może stać?

Nie wiadomo czy ktokolwiek inny wpadł na ten sam pomysł co Felix i czy istnieją aplikacje atakujące wykorzystując tą metodę.
Skutki mogą być przerażające ponieważ osoba atakująca dzięki takiej aplikacji uruchomionej na komputerze użytkownika może:

• Przeczytać hasła i kody z menadżerów haseł
• Wykryć jakich używasz serwisów i stron internetowych
• Czytać wszystkie wiadomości i maile, które otwierasz
• Poznać dane personalne – imię i nazwisko, adres, zarobki, dane bankowe – słowem wszystko co wyświetla się na ekranie

Rozwiązanie

Felix po odkryciu tej metody niezwłocznie zgłosił publiczny błąd w systemie Apple do ich raportowania oraz opisał ją na swoim blogu w celu znalezienia rozwiązania.

Felix ma parę propozycji rozwiązania tego problemu:

• Proces recenzowania aplikacji do App Store powinień dodatkowo weryfikować uprawnienia dla dostępu do ekranu
• Użytkownik powinien zobaczyć okno pytające go, czy chce udzielić dostępu aplikacji do swojego ekranu
• Kiedy aplikacja próbuje uzyskać dostęp do ekranu użytkownik powinien zobaczyć okno informujące go o tym

Niestety, na chwilę obecną nie da się przed atakiem tego typu obronić, ale nie panikujmy – póki co nie ma żadnych informacji o tym, że komuś w ten sposób wykradziono dane.

Źródła: Felix Krause, Bleepingcomputer

Posłuchaj najnowszego odcinka ThinkApple Podcast: HomePod, iPhone SE 2 i kolejne rekordy Apple.

Podłącz się do nas na Twitterze lub Facebooku żeby nie przegapić żadnych informacji ze świata Apple.