macOS용 Microsoft 애플리케이션에서 발견된 보안 취약점으로 인해 해커가 다음을 염탐할 수 있었습니다. 스코틀랜드 사람 Cisco Talos의 보안 연구원들은 블로그 게시물을 통해 공격자가 이 취약점을 악용하는 방법과 Microsoft가 이러한 취약점을 해결하기 위해 수행한 작업을 보고했습니다.

해커는 Microsoft 앱을 사용하여 Mac 사용자의 카메라 및 마이크에 액세스할 수 있습니다.

맬웨어 및 시스템 예방을 전문으로 하는 사이버 보안 그룹인 Cisco Talos는 Microsoft Outlook 및 Teams와 같은 앱의 취약점으로 인해 공격자가 사용자 동의 없이 Mac의 마이크 및 카메라에 액세스할 수 있는 방법에 대한 세부 정보를 공유했습니다. 공격은 사용자에게 부여된 권한과 권한을 얻기 위해 Microsoft 애플리케이션에 악성 라이브러리를 주입하는 것을 기반으로 합니다.

Apple의 macOS 운영 체제에는 다음과 같은 프레임워크가 포함되어 있습니다. 투명성, 동의 및 통제(TCC)위치 서비스, 카메라, 마이크, 도서관 사진 및 기타 파일에 액세스할 수 있는 앱 권한을 관리합니다.

모든 앱에는 TCC에 권한을 요청하려면 권한이 필요합니다. 이러한 권한이 없는 앱은 권한을 요청하지 않으므로 카메라와 컴퓨터의 다른 부분에 액세스할 수 없습니다. 그러나 이 취약점으로 인해 맬웨어는 Microsoft 애플리케이션에 부여된 권한을 사용할 수 있었습니다.

연구원들은 “우리는 공격자가 사용자의 추가 확인 없이 기존 애플리케이션 권한을 사용하여 운영 체제의 권한 모델을 우회할 수 있는 다양한 macOS용 Microsoft 애플리케이션에서 8가지 취약점을 식별했습니다.”라고 설명했습니다.

예를 들어 해커는 사용자 상호 작용 없이 마이크에서 오디오를 녹음하거나 사진을 찍는 악성 코드를 만들 수도 있습니다. “Excel을 제외한 모든 애플리케이션에는 오디오를 녹음할 수 있는 기능이 있으며 일부는 카메라에 액세스할 수도 있습니다.”라고 그룹은 덧붙입니다.

macOS Sequoia 게이트웨이 보안 소프트웨어

Microsoft는 이 문제를 해결하기 위해 노력하고 있지만 이것이 우선순위는 아닌 것 같습니다.

Cisco Talos에 따르면 Microsoft는 이 취약점이 타사 플러그인을 지원하기 위해 서명되지 않은 라이브러리를 로드하는 데 의존하기 때문에 “위험이 낮다”고 간주합니다.

READ  왼손잡이 운전을 강요받은 테슬라, 영국의 새로운 소유주에게 그랩 스틱 제공

취약성이 보고된 후 Microsoft는 macOS용 Microsoft Teams 및 OneNote 앱을 이러한 앱이 라이브러리 유효성 검사를 처리하는 방식을 변경하여 업데이트했습니다. 그러나 Excel, PowerPoint, Word 및 Outlook 응용 프로그램은 여전히 ​​보안 공격에 취약합니다.

연구원들은 특히 추가 라이브러리가 로드되지 않을 것으로 예상되는 경우 Microsoft가 라이브러리 유효성 검사를 비활성화해야 했던 이유를 궁금해합니다. “이 권리를 행사함으로써 Microsoft는 향상된 가동 시간이 제공하는 보호 장치를 우회하여 사용자를 불필요한 위험에 노출시킵니다.”

한편, 연구원들은 Apple이 시스템을 더욱 안전하게 만들기 위해 TCC에 변경 사항을 구현할 수도 있다고 지적합니다. 그룹은 이미 권한을 부여받은 앱에 타사 플러그인이 로드되면 시스템이 사용자에게 알림을 보낼 것을 제안합니다.

취약점에 대한 자세한 내용은 다음에서 확인할 수 있습니다. 시스코 탈로스 블로그.

또한 읽어보세요

FTC: 우리는 자동 수입을 얻기 위해 제휴 링크를 사용합니다. 더.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like

Google은 Apple에 보안 인수가 포함된 RCS를 채택하도록 요구합니다.

iMessage가 경험과 보안 모두에 매우 우수하기 때문에 메시징은 iPhone에 비해 Android 휴대폰에서…

Pokemon Go 플레이어는 Regidrago Elite Raids가 대규모 충돌을 시작한 후 좌절감을 느끼고 있습니다.

필립 트라한 ❘ 출판: 2023-03-11 T22:05:00 ❘ 업데이트: 2023-03-11 T22:05:11 Pokemon Go…

Google 렌즈에는 사진을 빠르게 가져올 수있는 내장 갤러리가 있습니다.

오늘날의 Google 렌즈 앱은 실시간으로 라이브 사진을 분석하는 데 초점을 맞추고 있지만…

WWDC 2021 : 6 월 Apple 이벤트에서 기대할 수있는 것

공식적으로 Apple의 글로벌 개발자 컨퍼런스에서 2 주도 안 남았습니다. WWDC 2021은 올해…