zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Ethisch hacker Computest vindt serieuze kwetsbaarheid in Apple’s macOS

Resultaten security-onderzoek gepresenteerd op Black Hat en DEF CON conferenties Las Vegas

17 augustus 2022 - Vorige week werd op de grootste internationale hackerconferenties Black Hat en DEF CON, de kwetsbaarheid gepresenteerd die Thijs Alkemade, ethisch hacker bij Computest Security, vond in Apple’s macOS. Het betrof een ‘process injection vulnerability’. Hiermee konden alle op macOS AppKit gebaseerde applicaties worden misbruikt om toegang te krijgen tot andere applicaties en het systeem zelf. Apple heeft de kwetsbaarheid inmiddels opgelost met een update in macOS Monterey. 

Door de process injection vulnerability in macOS te misbruiken zouden kwaadwillenden via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties en in staat zijn deze te misbruiken. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot het hele systeem. Daarmee zou men bijvoorbeeld ook redelijk eenvoudig malware kunnen installeren. Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties. 


 
Kwetsbaarheid op onverwachte plek
Alkemade geeft verder aan dat het een kwetsbaarheid betreft op een onverwachte plek. Het bevond zich in een functionaliteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het systeem als je je computer uitschakelt aan, de vensters die je open hebt staan opnieuw te openen zodra je het systeem weer opstart. Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben. 
"Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken," zegt Alkemade. "Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen."
Alkemade meldde het beveiligingslek bij Apple en gaf bovendien informatie over hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit te brengen voor macOS Monterey. Verder zijn er wijzigingen aangebracht in de documentatie van Appkit zodat ontwikkelaars nieuwe applicaties en functies kunnen bouwen zonder dat er sprake is van de genoemde kwetsbaarheid. 
 
Prijswinnende hacks
Het onderzoek van Alkemade naar macOS is onderdeel van een indrukwekkend track record. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest Security volledig op onderzoek. Hiermee hebben ze inmiddels verschillende prijswinnende hacks op hun naam weten te zetten. Zo wonnen Alkemade en Keuper al twee keer de internationale hack-competitie Pwn2Own door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep. 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Ik ga op vakantie en ik neem mee: een hacker
 93 procent van alle organisaties met OT-omgevingen kreeg te maken met hackers
 Zeven manieren om slimme (thuis)apparaten uit handen van hackers te houden
 Vraag naar ethische hackers bijna verdubbeld
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10