Managed hosting door True

Nederlandse hacker vindt lek in MacOS Apple

 

Thijs Alkemade, ethisch hacker Computest

Ethisch hacker Thijs Alkemade heeft een groot lek gevonden in een functionaliteit van het Apple-besturingsysteem MacOS. Via die kwetsbaarheid konden kwaadwillenden met één applicatie toegang krijgen tot de rechten van andere applicaties en deze misbruiken. De kwetsbaarheid zat in een tien jaar oude toepassing voor het opslaan van openstaande schermen.

Het gaat om een zogenoemde ‘process injection vulnerability’ waarmee alle op MacOS AppKit-gebaseerde applicaties kwetsbaar waren en toegang boden tot andere applicaties en het systeem zelf.

In een persbericht schrijft Alkemades werkgever, ict-beveiliger Computest, dat ongemerkt de camera of microfoon was aan te zetten en na overname van het systeem ook eenvoudig malware te installeren was. ‘Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties.’

Alkemade trof de kwetsbaarheid op een onverwachte plek, want in een functionaliteit die al tien jaar geleden is ontwikkeld: de ‘saved state’-functie. Daarmee biedt het systeem bij het afsluiten aan om openstaande vensters opnieuw te openen zodra het systeem weer opstart.

Updates

"Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken"

Alkemade roept softwareleveranciers op om bij updates niet alleen te focussen op nieuwe functionaliteiten, maar ook te letten op kwetsbaarheden in oude toepassingen. ‘Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.’

Hij vindt het begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. ‘Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken.’

De kwetsbaarheid is vorige week tijdens de elkaar opvolgende hackerconferenties Black Hat en Def Con in Las Vegas gepresenteerd. Alkemade ontving een niet nader bekend gemaakt bedrag voor het vinden van het lek (bug bounty).

Zoom en Volkswagen

Alkemade heeft al meerdere ontdekkingen van grote kwetsbaarheden op zijn naam. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest volledig op onderzoek.

Alkemade en Keuper wisten al twee keer de internationale hackcompetitie Pwn2Own te winnen door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep. Hun speurwerk leverde in 2019 ook een nominatie voor de Computable Awards op.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7398301). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.