zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Ethisch hacker Computest vindt serieuze kwetsbaarheid in Apple’s macOS

Resultaten security-onderzoek gepresenteerd op Black Hat en DEF CON conferenties Las Vegas

17 augustus 2022 - Vorige week werd op de grootste internationale hackerconferenties Black Hat en DEF CON, de kwetsbaarheid gepresenteerd die Thijs Alkemade, ethisch hacker bij Computest Security, vond in Apple’s macOS. Het betrof een ‘process injection vulnerability’. Hiermee konden alle op macOS AppKit gebaseerde applicaties worden misbruikt om toegang te krijgen tot andere applicaties en het systeem zelf. Apple heeft de kwetsbaarheid inmiddels opgelost met een update in macOS Monterey. 

Door de process injection vulnerability in macOS te misbruiken zouden kwaadwillenden via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties en in staat zijn deze te misbruiken. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot het hele systeem. Daarmee zou men bijvoorbeeld ook redelijk eenvoudig malware kunnen installeren. Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties. 


 
Kwetsbaarheid op onverwachte plek
Alkemade geeft verder aan dat het een kwetsbaarheid betreft op een onverwachte plek. Het bevond zich in een functionaliteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het systeem als je je computer uitschakelt aan, de vensters die je open hebt staan opnieuw te openen zodra je het systeem weer opstart. Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben. 
"Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken," zegt Alkemade. "Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen."
Alkemade meldde het beveiligingslek bij Apple en gaf bovendien informatie over hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit te brengen voor macOS Monterey. Verder zijn er wijzigingen aangebracht in de documentatie van Appkit zodat ontwikkelaars nieuwe applicaties en functies kunnen bouwen zonder dat er sprake is van de genoemde kwetsbaarheid. 
 
Prijswinnende hacks
Het onderzoek van Alkemade naar macOS is onderdeel van een indrukwekkend track record. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest Security volledig op onderzoek. Hiermee hebben ze inmiddels verschillende prijswinnende hacks op hun naam weten te zetten. Zo wonnen Alkemade en Keuper al twee keer de internationale hack-competitie Pwn2Own door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep. 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Databeheer kritieke uitdaging voor succesvolle inzet AI
 Werknemers gestrest, maar welzijnsprogramma’s blijven onderbelicht
 Hoe reis je zakelijk zorgeloos en met plezier door Nederland?
 

Gerelateerde nieuwsitems

 Ik ga op vakantie en ik neem mee: een hacker
 93 procent van alle organisaties met OT-omgevingen kreeg te maken met hackers
 Zeven manieren om slimme (thuis)apparaten uit handen van hackers te houden
 Vraag naar ethische hackers bijna verdubbeld
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Welke rechten heb je bij een arbeidsconflict?
reacties
Zeven tips voor het omgaan met klagende medewerkers (3) 
Timemanagement is eigenlijk grote onzin! (1) 
Citrix onderzoek toont verdeeldheid over werken op kantoor (1) 
Nederlanders willen vooral buiten kantoor kunnen werken (3) 
Drie eenvoudige tips tegen SIM-swapping (1) 
Nederlander bang voor misleidende online reviews (3) 
Werknemer wil fiets in arbeidsvoorwaardenpakket (1) 
top10
Helft wil dit najaar vaker naar kantoor vanwege hoge energieprijzen
Helft Nederlanders vindt dat werkgever meer aandacht moet besteden aan diversiteit en inclusie
Bijbaan moet bijdragen aan persoonlijke groei en ontwikkeling
Bedrijfsleiders worstelen met benutten van zakelijke kansen
Jongeren missen begeleiding bij hun eerste stappen op de arbeidsmarkt
Tien MVO-managers op de shortlist voor titel ‘MVO Manager van het Jaar 2022’
Kennis HR-professionals over actuele wet- en regelgeving zwaar onvoldoende
CIO heeft moeite om explosieve datagroei van alle cloudservices te managen
IT-leider vindt zichtbaarheid voorwaarde voor netwerkveiligheid
Kwart werkend Nederland vindt werkgevers verantwoordelijk voor vitaliteit medewerkers
meer top 10