Una vulnerabilità nelle applicazioni Microsoft per macOS ha permesso agli hacker di spiare gli utenti Mac. I ricercatori di sicurezza di Cisco Talos hanno rivelato in un post sul blog come questa falla potesse essere sfruttata dagli attaccanti per accedere a webcam e microfoni dei dispositivi Apple senza il consenso dell'utente.
La vulnerabilità riguarda app come Microsoft Outlook e Teams, che potevano essere compromesse per ottenere i permessi di accesso concessi dall'utente al sistema operativo. Sfruttando questa falla, i malintenzionati potevano iniettare librerie malevole nelle applicazioni Microsoft, aggirando così il framework di sicurezza di macOS chiamato Transparency Consent and Control (TCC).
Il TCC gestisce le autorizzazioni delle app per accedere a funzionalità come fotocamera, microfono e dati sensibili. Normalmente, le applicazioni necessitano di specifici permessi per richiedere l'accesso a queste risorse. Tuttavia, l'exploit permetteva al software malevolo di utilizzare i permessi già concessi alle app Microsoft senza ulteriori verifiche.
I ricercatori di Cisco Talos hanno identificato otto vulnerabilità in varie applicazioni Microsoft per macOS. Queste falle consentivano a un attaccante di bypassare il modello di autorizzazioni del sistema operativo, utilizzando i permessi esistenti delle app senza richiedere ulteriori verifiche all'utente.
La risposta di Microsoft e le implicazioni per la sicurezza
Secondo quanto riportato, Microsoft considera questo exploit a "basso rischio" poiché si basa sul caricamento di librerie non firmate per supportare plugin di terze parti. L'azienda ha aggiornato Microsoft Teams e OneNote per macOS, modificando la gestione della convalida delle librerie. Tuttavia, Excel, PowerPoint, Word e Outlook risultano ancora vulnerabili.
I ricercatori di Cisco Talos criticano la scelta di Microsoft di disabilitare la convalida delle librerie, soprattutto quando non ci si aspetta il caricamento di librerie aggiuntive. "Utilizzando questa autorizzazione, Microsoft sta aggirando le misure di sicurezza offerte dal runtime rafforzato, esponendo potenzialmente i suoi utenti a rischi non necessari", affermano gli esperti.
Allo stesso tempo, i ricercatori suggeriscono che anche Apple potrebbe implementare modifiche al TCC per rendere il sistema più sicuro. Una possibile soluzione sarebbe quella di richiedere all'utente una conferma quando vengono caricati plugin di terze parti in applicazioni che hanno già ottenuto i permessi di accesso.