Ethisch hacker Thijs Alkemade heeft een groot lek gevonden in een functionaliteit van het Apple-besturingsysteem MacOS. Via die kwetsbaarheid konden kwaadwillenden met één applicatie toegang krijgen tot de rechten van andere applicaties en deze misbruiken. De kwetsbaarheid zat in een tien jaar oude toepassing voor het opslaan van openstaande schermen.
Het gaat om een zogenoemde ‘process injection vulnerability’ waarmee alle op MacOS AppKit-gebaseerde applicaties kwetsbaar waren en toegang boden tot andere applicaties en het systeem zelf.
In een persbericht schrijft Alkemades werkgever, ict-beveiliger Computest, dat ongemerkt de camera of microfoon was aan te zetten en na overname van het systeem ook eenvoudig malware te installeren was. ‘Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties.’
Alkemade trof de kwetsbaarheid op een onverwachte plek, want in een functionaliteit die al tien jaar geleden is ontwikkeld: de ‘saved state’-functie. Daarmee biedt het systeem bij het afsluiten aan om openstaande vensters opnieuw te openen zodra het systeem weer opstart.
Updates
Alkemade roept softwareleveranciers op om bij updates niet alleen te focussen op nieuwe functionaliteiten, maar ook te letten op kwetsbaarheden in oude toepassingen. ‘Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.’
Hij vindt het begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. ‘Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken.’
De kwetsbaarheid is vorige week tijdens de elkaar opvolgende hackerconferenties Black Hat en Def Con in Las Vegas gepresenteerd. Alkemade ontving een niet nader bekend gemaakt bedrag voor het vinden van het lek (bug bounty).
Zoom en Volkswagen
Alkemade heeft al meerdere ontdekkingen van grote kwetsbaarheden op zijn naam. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest volledig op onderzoek.
Alkemade en Keuper wisten al twee keer de internationale hackcompetitie Pwn2Own te winnen door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep. Hun speurwerk leverde in 2019 ook een nominatie voor de Computable Awards op.
