Usikre MacOS-popups: Hackere kan selv klikke advarselsbokse væk

Illustration: Bigstock
Advarsels-pop-ups er ikke meget værd, hvis brugeren aldrig ser dem.

En tidligere NSA-hacker, Patrick Wardle, har netop demonstreret, hvordan hackere kan omgå de dialogbokse, der ellers er indsat i MacOS for at undgå, at et angreb opskaleres og går fra slemt til katastrofalt. Det skriver Ars Technica.

For mens det meste i MacOS er låst ned og sikret, er selve pop-up-systemet sårbart over for såkaldte synthetic clicks - kunstige klik. På den måde kan hackere komme udenom pop-ups, der eksempelvis spørger brugeren, om et malware-program må bruge visse funktioner eller ej.

»Muligheden for at interagere kunstigt med alle de her sikkerhedsmeddelelser giver angriberen mulighed for at omgås mange af Apples privacy- og security-in-depth-mekanismer,« siger Wardle til Ars Technica.

Læs også: Google-hacker udfordrer Apple: Giv Amnesty pengene fra mine bug-dusører

På årets Def Con, en sikkerhedskonference i Las Vegas, demonstrerede Wardle, hvordan en angriber kan lukke dialogboksen ned og give sit program de nødvendige tilladelser - helt uden brugeren bemærker noget.

Og det gør groft sagt dialogboksene komplet ubrugelige som et sidste værn mod et angreb eller et lidt for nysgerrigt program.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Larsen

Ja, pt er macOS og iOS apps ikke det "samme", men om en måned når macOS Mojave 10.14 officielt kommer, vil der ligeledes kommer et par Apple iOS apps ind i macOS - og flere vil sikkert komme, og måske åbnes der også for 3-part apps - who knows. Officielt fra Apple's side (hvad de nævnte på WWDC keynoten), er det ikke "rigtige" iOS apps - men som de ser ud i dag i macOS beta'erne, så ligner de meget apps fra iOS, med samme forskelle som mellem iPhone og iPad.

  • 0
  • 0
Log ind eller Opret konto for at kommentere