安全研究人员发现 Microsoft 旗下 macOS 应用程式存在严重漏洞,可让骇客未经授权监视 Mac 用户。Cisco Talos 安全研究团队于网志中详细说明了该漏洞如何被利用,以及 Microsoft 目前的修复进度。
骇客可透过微软 App 存取 Mac 用户相机麦克风
专门研究恶意软体和系统防护的 Cisco Talos 网路安全团队揭露了 Microsoft Outlook 和 Teams 等应用程式的漏洞细节。骇客可借由注入恶意程式库,取得这些应用程式的权限,进而在用户不知情的情况下存取 Mac 的麦克风和相机。
Apple 的 macOS系统使用名为透明度、同意和控制(Transparency Consent and Control,TCC)的框架来管理应用程式权限,包括位置服务、相机、麦克风、照片库等存取权限。
每个应用程式都需要具备特定权限才能向 TCC 请求授权。没有这些权限的应用程式甚至无法请求授权,自然也无法存取相机等硬体。然而,这个漏洞允许恶意软体利用已授予 Microsoft 应用程式的权限。
Microsoft 回应漏洞风险
根据 Cisco Talos 的说法,Microsoft 认为这个漏洞「风险较低」,因为它需要载入未签名的程式库来支援第三方外挂程式。
在漏洞被报告后,Microsoft 已更新了 macOS 版 Microsoft Teams 和 OneNote 应用程式,改变了这些应用程式处理程式库验证权限的方式。然而,Excel、PowerPoint、Word 和 Outlook 仍然存在漏洞。
研究人员质疑 Microsoft 为何需要停用程式库验证,特别是在不预期载入额外程式库的情况下。他们指出:「使用这种权限,Microsoft 绕过了强化执行环境所提供的安全保护,可能使用户面临不必要的风险。」
Apple 系统安全性改进建议
同时,研究人员也指出 Apple 可以对 TCC 进行改进以提高系统安全性。他们建议系统应在已授权的应用程式载入第三方外挂程式时,向用户发出提示。
这次的漏洞发现凸显了即使是知名科技公司的应用程式,也可能存在安全隐患。用户应保持警惕,及时更新应用程式,以确保自身的资讯安全。
