Et potensielt alvorlig sikkerhetshull viser at Mac-programmer kan ta bilder og video av skjermen din uten din tillatelse.
Utvikleren Felix Krause beskriver sikkerhetshullet i en bloggpost. For å demonstrere problemet har han laget et lite program som automatisk tar bilder av skjermen i bakgrunnen, og henter ut teksten som står skrevet på skjermen.
Krause understreker at programmet ikke trenger å ligge i forgrunnen for at dette skal fungere. Det betyr at et program som er installert og kjører på maskinen din, i teorien kan fange opp store mengder sensitiv informasjon.
Dette åpner for at ondsinnede programmer kan overvåke hvilke nettsider du bruker, hva du skriver i chatsamtaler og eposter, og hvordan det står til med økonomien i nettbanken.
Sandkassa hjelper ikke
Da Apple lanserte versjon 10.7 av OS X, introduserte de nye sikkerhetsregler i operativsystemet som gjelder for alle programmer som er lastet ned
fra deres App Store.
De nye sikkerhetsreglene kom på plass for å skjerme brukerne fra ondsinnede programmer og skadevare. For eksempel kan ikke et program hente ut informasjon fra andre programmer som kjører på samme maskin, uten at brukeren bekrefter at det er greit.
🔓 Sandboxed Mac apps can record your entire screen at any time, without you knowing.
Running the screen through simple OCR software, this allows the attacker to access personal information, like emails, messages, API keys and morehttps://t.co/eHMoYzgt0x pic.twitter.com/MM7eQJOcUx
— Felix Krause (@KrauseFx) February 10, 2018
Nå viser det seg at selv programmer som benytter seg av sandkassa på kreativt vis kan hente ut sensitiv informasjon fra andre programmer.
Utnytter en nyttig funksjon i operativsystemet
Metoden som Felix Krause viser til, utnytter en kjernefunksjon som er nyttig for mange programmer. Funksjonen heter CGWindowListCreateImage, og lar et program ta et bilde av skjermen til brukeren.
I mange tilfeller er det nyttig å kunne gjøre dette: Ofte vil man ta et bilde av det som er på skjermen for å sende det videre til noen. Eller hvis man holder en presentasjon via Skype eller lignende telekonferanseprogrammer, brukes denne funksjonen for å vise skjermen din til de andre som er med i samtalen.
Clik here to view.
Men som Krause påpeker åpner denne funksjonen også for at et program jevnt og trutt kan ta bilder av skjermen din uten at du er klar over det.
En mulig løsning kunne vært at alle programmer som skal ta et bilde av skjermen, må spørre brukeren om lov først. Men, av erfaring vet vi at folk ikke tar slike forespørsler alvorlig lengre, det blir for mange av dem. Så en slik løsning er heller ingen garanti for at problemet unngås.
Krause sendte inn en feilmelding til Apple i oktober 2017, med forslag om hvordan denne feilen kan rettes opp. Foreløpig er det ikke bekreftet at sikkerhetshullet har blitt utnyttet av ondsinnede aktører, og Apple har heller ikke tatt noen steg for å rette opp i problemet. Vi har sendt en henvendselse til Apple, men har foreløpig ikke fått svar. Vi vil oppdatere saken når vi får et svar fra selskapet.
Uavhengig av dette sikkerhetshullet er det en god idé å ha et kritisk blikk på hvilke programmer man installerer, og kanskje ta en tidlig vårrengjøring på maskinen.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.