Microsoft เปิดเผยว่า ผู้โจมตีอาจใช้ช่องโหว่ macOS ที่เพิ่งได้รับการอัปเดตแพตช์เมื่อไม่นานมานี้ เพื่อหลีกเลี่ยงการตรวจสอบด้านความปลอดภัยของระบบ Transparency, Consent, Control (TCC) และขโมยข้อมูลสำคัญของผู้ใช้ เช่น ข้อมูลที่ถูกแคชไว้ของ Apple Intelligence
TCC เป็นเทคโนโลยีด้านความปลอดภัย และความเป็นส่วนตัว ซึ่งช่วยป้องกันไม่ให้แอปเข้าถึงข้อมูลส่วนตัวของผู้ใช้โดยไม่รับอนุญาต โดยระบบจะให้ macOS ควบคุมว่าแอปสามารถเข้าถึง และใช้งานข้อมูลของผู้ใช้บนอุปกรณ์ Apple
โดยช่องโหว่มีหมายเลข CVE-2025-31199 (ถูกรายงานโดย Jonathan Bar Or, Alexia Wilson และ Christine Fossaceca จาก Microsoft) ซึ่ง Apple ได้แก้ไขช่องโหว่นี้ไปแล้วในการอัปเดตแพตช์ที่ปล่อยออกมาเมื่อเดือนมีนาคม สำหรับ macOS Sequoia 15.4 ด้วยการปรับปรุง data redaction
ในขณะที่ Apple จำกัดการเข้าถึง TCC ให้เฉพาะแอปที่ได้รับสิทธิ์ Full Disk Access เท่านั้น และจะบล็อกการรันโค้ดที่ไม่ได้รับอนุญาตโดยอัตโนมัติ แต่ทีมนักวิจัยด้านความปลอดภัยจาก Microsoft พบว่า ผู้โจมตีสามารถใช้สิทธิ์พิเศษของปลั๊กอิน Spotlight เพื่อเข้าถึงไฟล์ข้อมูลสำคัญ และขโมยเนื้อหาภายในได้
รายงานที่เผยแพร่เมื่อวันที่ 29 กรกฎาคม ระบุว่า ช่องโหว่ดังกล่าวมีชื่อว่า Sploitlight และ Apple อธิบายว่าเป็น "ปัญหาการบันทึกข้อมูล" ซึ่งอาจถูกใช้ประโยชน์เพื่อเก็บข้อมูลที่มีความสำคัญ เช่น ข้อมูลที่เกี่ยวข้องกับ Apple Intelligence และข้อมูลจากอุปกรณ์อื่น ๆ ที่เชื่อมกับบัญชี iCloud เดียวกัน
ซึ่งรวมถึงข้อมูลเหล่านี้ เช่น ข้อมูล metadata ของรูปภาพ และวิดีโอ, ข้อมูลพิกัดตำแหน่งที่แม่นยำ, ข้อมูลการจดจำใบหน้า และบุคคล, กิจกรรมของผู้ใช้, อัลบั้มรูป และคลังภาพที่แชร์ และประวัติการค้นหา และการตั้งค่าของผู้ใช้ รวมไปถึงรูปภาพ และวิดีโอที่ถูกลบไปแล้ว
ตั้งแต่ปี 2020 เป็นต้นมา Apple ได้ออกแพตช์แก้ไขช่องโหว่ที่เกี่ยวกับระบบ TCC หลายรายการ เช่น ช่องโหว่ Time Machine mounts (CVE-2020-9771), ช่องโหว่ environment variable poisoning (CVE-2020-9934) และปัญหาเกี่ยวกับ bundle conclusion issue (CVE-2021-30713) ก่อนหน้านี้ นักวิจัยด้านความปลอดภัยของ Microsoft ยังค้นพบช่องโหว่ TCC bypass อื่น ๆ อีก เช่น ช่องโหว่ powerdir (CVE-2021-30970) และ HM-Surf ซึ่งสามารถถูกใช้เพื่อเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้
Microsoft ระบุเมื่อวันจันทร์ที่ผ่านมาว่า "แม้ว่าช่องโหว่นี้จะมีลักษณะคล้ายกับช่องโหว่ TCC bypass ก่อนหน้า เช่น HM-Surf และ powerdir แต่ผลกระทบจากช่องโหว่นี้ ซึ่งถูกเรียกว่า ‘Sploitlight’ ซึ่งใช้ประโยชน์จากปลั๊กอินของ Spotlight มีระดับความรุนแรงมากกว่า เพราะสามารถดึงข้อมูลสำคัญที่แคชโดย Apple Intelligence ออกมาได้ เช่น ข้อมูลตำแหน่งที่แม่นยำ, ข้อมูล metadata ของรูปภาพและวิดีโอ, ข้อมูลการจดจำใบหน้า และบุคคล, ประวัติการค้นหา และการตั้งค่าของผู้ใช้"
ความเสี่ยงเหล่านี้มีความซับซ้อน และเพิ่มมากขึ้น เนื่องจากความสามารถในการเชื่อมโยงระยะไกลระหว่างอุปกรณ์ที่ใช้ iCloud ซึ่งหมายความว่าผู้โจมตีที่มีสิทธิ์เข้าถึงอุปกรณ์ macOS ของผู้ใช้สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อตรวจสอบข้อมูลระยะไกลของอุปกรณ์อื่นที่เชื่อมโยงกับบัญชี iCloud เดียวกันได้
ในช่วงไม่กี่ปีที่ผ่านมา ทีมนักวิจัยด้านความปลอดภัยของ Microsoft ได้ค้นพบช่องโหว่ระดับ Critical หลายรายการใน macOS โดยเฉพาะที่เกี่ยวกับการ bypass ระบบป้องกันความปลอดภัย SIP ที่มีชื่อว่า 'Shrootless' (CVE-2021-30892) ซึ่งถูกรายงานในปี 2021 โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถติดตั้ง rootkit ลงบนเครื่อง Mac ที่ถูกโจมตีได้
โดยล่าสุด ได้ค้นพบช่องโหว่ SIP bypass ที่เรียกว่า 'Migraine' (CVE-2023-32369) และช่องโหว่ด้านความปลอดภัยอีกหนึ่งรายการชื่อ Achilles (CVE-2022-42821) ซึ่งสามารถถูกใช้เพื่อติดตั้งมัลแวร์ผ่านแอปที่ไม่น่าเชื่อถือ โดย bypass ข้อจำกัดของ Gatekeeper ได้
เมื่อปีที่แล้ว มีการรายงานช่องโหว่ SIP bypass flaw (CVE-2024-44243) ซึ่งช่วยให้ผู้โจมตีสามารถติดตั้ง kernel drivers ที่เป็นอันตรายได้โดยการโหลด kernel extension ของ third-party ลงในระบบ
ที่มา : bleepingcomputer
You must be logged in to post a comment.