Специалисты Microsoft заявили, что злоумышленники могут использовать уязвимость macOS, чтобы обойти технологию Transparency, Consent, and Control (TCC) и получить доступ к защищенным пользовательским данным.
Еще летом 2021 года исследовательская группа сообщила разработчикам Apple об уязвимости, получившей название powerdir (CVE-2021-30970). Баг связан с технологией TCC, которая предназначена для блокировки доступа приложений к конфиденциальным пользовательским данным. Это позволяет пользователям macOS настраивать параметры конфиденциальности для приложений и устройств, подключенных к их компьютерам Mac, включая камеры и микрофоны, пишет Хакер.
Хотя Apple ограничила доступ к TCC (только для приложений с полным доступом к диску) и настроила функции для автоматической блокировки неавторизованного выполнения кода, исследователи Microsoft обнаружили, что злоумышленники могут внедрить в систему вторую, специально созданную БД TCC, которая позволит им получить доступ к защищенной информации.
Дело в том, что TCC поддерживает два типа баз данных — один для разрешений, которые применяются к определенному профилю пользователя, а другой — для разрешений, которые применяются глобально, в масштабах всей системы, защищены с помощью System Integrity Protection (SIP) и доступны только для приложений с полным доступом к диску.
«Мы обнаружили, что можно программно изменить домашний каталог целевого пользователя и внедрить поддельную базу данных TCC, в которой хранится история согласий на запросы приложений, — рассказывают эксперты. — В случае использования этой уязвимости, злоумышленник, в теории, может организовать атаку, основанную на защищенных личных данных пользователя. Например, атакующий может взломать приложение, установленное на устройстве (или установить собственное вредоносное приложение), получив доступ к микрофону, чтобы записывать частные разговоры или делать скриншоты конфиденциальной информации, отображаемой на экране».
Фактически пользователь с полным доступом к диску может найти файл TCC.db, представляющий собой базу данных SQLITE, просмотреть его и даже отредактировать. Таким образом, злоумышленник с полным доступом к базам TCC может давать произвольные разрешения своим вредоносным приложениям, о чем пользователь даже не узнает.
Apple исправила эту проблему в декабре 2021 года, выпустив macOS 11.6 и 12.1.
CVE-2021-30970 стала уже третьей проблемой обхода TCC. Ранее в 2021 году Apple устранила баги CVE-2020-9934 и CVE-2020-27937, а также уязвимость нулевого дня CVE-2021-30713, которая тоже позволяла злоумышленнику получить полный доступ к диску, записывать данные с экрана и совершать другие действия без явного согласия пользователей.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
Meta* начнет использовать данные о действиях пользователей на сторонних сайтах и в приложениях для персонализации ленты, рекомендаций и ответов ИИ-ассистента.
