>>
21-december-2020, min. leestijd

Computest hackers spreken op rC3 over de werking en het omzeilen van de macOS sandbox en TCC

Thijs Alkemade & Daan Keuper van de R&D afdeling Sector 7 van Computest zullen op 29 december om 15:00 spreken op de wereldberoemde hackerconferentie CCC. Thijs en Daan zullen over hun onderzoek naar sandboxing en TCC in MacOS spreken en een aantal door hen ontdekte kwetsbaarheden toelichten.

Sandboxing en TCC bij macOS

"SomeApp probeert toegang te krijgen tot bestanden in jouw Documenten folder." Iedereen die macOS recentelijk nog gebruikt heeft zal bekend zijn met deze prompts in zijn/haar scherm. Maar hoe werken ze? Wat gebeurt er als je de toegang weigert? Vormen zij een effectieve bescherming tegen malware?

Sandboxing in macOS werd 13 jaar geleden geïntroduceerd, maar daar liet Apple het niet bij. Vanaf de release van macOS Catalina in 2019 moeten ook non-sandboxed apps omgaan met sandbox-achtige beperkingen voor bestanden: alle apps moeten nu toestemming vragen om toegang tot gevoelige locaties, zoals de documenten van de gebruiker of de desktop map. Bepaalde features zoals de camera en locatievoorzieningen hadden al toestemming van de gebruiker nodig via een permissie prompt. Dit systeem van gebruiker permissies wordt ook wel Transparency, Consent, and Control (TCC) genoemd.

Omzeilen van macOS sandbox en TCC: nieuwe kwetsbaarheden

Bij de introductie van een nieuw beveiligingsmechanisme zoals deze ontstaan ook nieuwe securitybeperkingen, met nieuwe soorten kwetsbaarheden. Veel systeemonderdelen moeten opnieuw worden onderzocht om te controleren op aanwezigheid van deze kwetsbaarheden. Bijvoorbeeld: apps kunnen nu andere apps aanvallen zodat zij de permissies kunnen "stelen" van apps die al door de gebruiker zijn gegeven.

Apple heeft stappen ondernomen om ervoor te zorgen dat apps zich kunnen beschermen tegen zulke aanvallen, zoals de hardened runtime. Maar uiteindelijk is het de verantwoordelijkheid van de developer om de permissies van zijn app te beschermen. Echter, veel developers zijn zich niet bewust van deze nieuwe verantwoordelijkheid - of ze nemen het niet serieus.

Developers die gewend zijn aan het securitymodel van Windows of Linux weten vaak niet eens dat deze begrenzingen bestaan. Nog zorgwekkender is het feit dat de documentatie en API's van Apple voor deze features niet zo helder en gebruiksvriendelijk zijn als eigenlijk zou moeten.

Presentatie onderzoek op hackercon rC3 met gevonden kwetsbaarheden

De presentatie van Thijs Alkemade en Daan Keuper begint met een overzicht van de lokale securitybeperkingen waar apps op macOS mee om moeten gaan. Daarna worden er een aantal manieren besproken waarop deze beperkingen door third-party applicaties zouden kunnen worden omzeild. Tot slot zullen Thijs en Daan een aantal kwetsbaarheden laten zien die zij in software gevonden hebben waardoor er ontsnapt kan worden aan de macOS sandbox, TCC permissies gestolen kunnen worden en waarmee het escaleren van privileges mogelijk wordt, zoals met CVE-2020-10009 en CVE-2020-24428.

Dit jaar zal de conferentie online plaatsvinden en is daarom "rC3" gedoopt (remote Chaos experience). Alle presentaties zullen beschikbaar komen op https://media.ccc.de/.

Deze website werkt het beste met JavaScript ingeschakeld