Eine 0-day-Lücke erlaubt welcher obig Xcode-Projekte verbreiteten Malware, sich die Screenshot-Berechtigung anderer Apps zu erschwindeln. Ein Apple-Patch liegt vor.
(Bild: welcomia/Shutterstock.com)
Mac & i Von
- Leo Becker
Die vor wenigen Monaten entdeckte Mac-Malware "XCSSET" setzte offenbar auf mehr 0-day-Exploits als bislang bekannt: Der Schädling hat auch eine Schwachstelle in Apples "Transparency Consent and Control"-System (TCC) ausgenutzt, um heimlich Screenshots anfertigen zu können – indem sich die Malware in das Verzeichnis einer Software einnistete, der der Nutzer die entsprechende Berechtigung zur Aufzeichnung von Bildschirminhalten bereits erteilt hatte.
Huckepack zur Screenshot-Berechtigung
Ein Modul der AppleScript-basierten Malware sucht dafür auf dem Mac nach installierten Programmen, die eine Berechtigung zur Bildschirmaufzeichnung besitzen – das schließt Screenshots ebenso wie Bildschirmaufnahmen ein. Wird eine solche gefunden, erstellt die Malware eine neue AppleScript-App und injiziert diese in das Verzeichnis der legitimen App, wie Jamf erklärt – beispielsweise ein Videokonferenz-Tool wie Zoom. Die AppleScript-App werde zudem mit einem Ad-Hoc-Zertifikat signiert
Apple hat die Lücke mit dem in der Nacht auf Dienstag veröffentlichen macOS-Version 11.4 Big Sur gestopft. Eine Schad-Software könne die Datenschutzeinstellungen umgehen, führt der Hersteller zu CVE-2021-30713 auf, es gebe Berichte, dass die Lücke aktiv ausgenutzt wird. Für ältere Versionen des Betriebssystems gibt es keinen Patch, die entsprechende Datenschutzfunktion für Screenshots und Screencaps gibt es erst seit macOS 10.15 Catalina.
Malware nistet sich in Xcode-Projekte ein
XCSSET scheint vorrangig auf Entwickler abzuzielen, die mit Apples Entwicklungsumgebung Xcode arbeiten. Der Schadcode wird in lokale Xcode-Projekte auf dem Mac "injiziert" und ausgeführt, sobald die Software kompiliert wird. Über infizierte Xcode-Projekte, die beispielsweise über Github bereitgestellt werden, kann sich die Malware weiter verbreiten, hieß es im vergangenen August. Entwickler sollten die Integrität ihrer Projekte entsprechend prüfen, um eine Infektion zu vermeiden.
Lesen Sie auch
(lbe)
Quelle: www.heise.de