mini-hero-mac-family_2x




1: 2018/08/14(火) 14:17:26.48 ID:CAP_USER
macOS High SierraがインストールされているMacに、新たな脆弱性が存在することが発表されました。この脆弱性が利用されると、悪意のあるアプリケーションがユーザーの関与なしに画面上のオブジェクトをクリックしてしまえるようになるとのことです。

macOS Zero-Day Flaw Lets Hackers Bypass Security Using Invisible Mouse-Clicks
https://thehackernews.com/2018/08/macos-mouse-click-hack.html

この脆弱性は、元NSA(アメリカ国家安全保障局)のハッカーで、Digita Security社の主任研究員を務めるパトリック・ワードル氏がセキュリティ関連カンファレンスのDEF CON 26で発表したもの。脆弱性の内容は、体が不自由な人のために用意されているアクセシビリティ機能を悪用することで、悪意のあるアプリケーションが実際のユーザーが意図していない操作を実行してしまえるというもので、非常に危険なゼロデイ脆弱性であるとワードル氏は指摘しています。

実際に起こりうる問題についてワードル氏は、次のように例を挙げて説明しています。

「1回のクリックだけで、いくつものセキュリティメカニズムが完全にバイパスされてしまいます。信頼できないアプリケーションを実行しますか?クリック。キーチェーンへのアクセスを承認しますか?クリック。サードパーティ製のカーネル拡張機能をロードしますか?クリック。外部のネットワーク接続を承認しますか?クリック。というふうに」

ワードル氏は、DEF CON 26の中でプレゼンテーションを行っており、そのタイトルは「The Mouse is Mightier than the Sword(マウスは剣よりも強い)」というものでした。

ワードル氏が明らかにした内容はユーザー・インターフェースを使った「シンセティック(合成)インタラクション」と呼べるもので、コンピュータープログラムが目には見えない「合成クリック」を行うことでユーザーの意図にはない操作を自動で知らないうちに実行してしまうことが可能になるとのこと。前述のように、その背後にはAppleが用意している「アクセシビリティ」機能があるのですが、もちろんAppleはこの機能が悪用されないようにさまざまなバリアを設けています。

しかしワードル氏は、2つの連続した「合成クリック」イベントをHigh Sierraが「実際のクリック」と間違って解釈してしまうことを発見。この問題が悪用されると、攻撃者がプログラムを利用してセキュリティ警告に対応したり、機密性の高いデータに対するアクセスの承認を実施してしまったりできるようになるとのことです。

ワードル氏はこの問題を、コードをコピー・アンド・ペーストしている時に偶然に発見しました。実際の問題の詳細についてワードル氏は明らかにはしていませんが、High Sierraのコードの2行に少し手を加えることで脆弱性を利用できるようになってしまうそうです。以前に問題を発見した時とは異なり、ワードル氏はこの件についてAppleには報告せず、DEF CON 26の場で発表することを選択したとのことです。

なお、次バージョンのmacOS「Mojave」では合成イベントをブロックすることで脅威を排除する対策が盛り込まれているとのことです。
https://gigazine.net/news/20180814-macos-zero-day-flaw/


6: 2018/08/14(火) 14:38:39.50 ID:ouUUu2BB
>>1
これはヒドい

9: 2018/08/14(火) 14:49:29.46 ID:0YnhWOFw
>>1
>High Sierraのコードの2行に少し手を加えることで脆弱性を利用できるようになってしまうそうです。



なら問題なかろう
攻撃者が勝手にコード変えられる環境ならどんなセキュリティもお手上げだ

2: 2018/08/14(火) 14:20:21.75 ID:djSAN7EL
よくわからん
OSのコード意図的に書き換えりゃ脆弱性でるの当たり前じゃね?

5: 2018/08/14(火) 14:36:05.89 ID:cq1GDcMq
>>2
記事の内容を見る限りはOSのコードは書き換えていない
無害で自由に使っていいはずのアプリ側がOSを呼ぶコードを意図的に2つ組み合わせて使ってOSを呼ぶと
なぜかOSが本来許されない危険な操作までOKだよといってノコノコやってくるくらいの話
完全にAppleが悪い重大バグだな

10: 2018/08/14(火) 14:50:38.30 ID:TsX25wsP
>>5
なにそれ故意にやられたら防ぎようが無いな
中国製ソフト入れてるところとか駄々漏れなんだろうな

3: 2018/08/14(火) 14:29:44.75 ID:TsX25wsP
2行で済むってのがキモなんじゃね
2行が何バイトの事を表しているかしらんが

8: 2018/08/14(火) 14:43:26.91 ID:ZZz3pwUF
>>3
今はもうバイトでカウントする時代じゃないよ

13: 2018/08/14(火) 14:57:49.20 ID:TsX25wsP
>>8
1行と言ってもいつ終わるんだよって命令もあるしバイトの方が分かりやすいだろう
というかMACのシステムファイルは改行されてんの?

20: 2018/08/14(火) 15:11:36.19 ID:vTibBzh9
>>13
1画面プログラムを思い出した

7: 2018/08/14(火) 14:43:16.91 ID:paE7Djpj
意識高い系はセキュリティの堅牢なマックを選んでどうたらこうたら
インデペンデンス・デイもマックのおかげでうんたらかんたら

11: 2018/08/14(火) 14:55:39.26 ID:cq1GDcMq
>>7
まともな知能のある開発者は遅くても去年のI am root脆弱性見て全員Macを捨ててる

今開発者でMac使ってるのは貧乏なアジア系の無能開発者ばかり

14: 2018/08/14(火) 15:01:50.58 ID:Y6JX42r7
linux

15: 2018/08/14(火) 15:03:36.61 ID:gw0u3lYg
ソースコードを2行変更してそれをコンパイルしたのを動かさなきゃ大丈夫なんだよね

17: 2018/08/14(火) 15:07:33.62 ID:7TLhxu0/
>>15
そしてそれは悪意あるアプリに簡単に仕込まれうるので一般的なユーザーの自衛は難しい
それどころかアプリの共通部品として第三者が公開しているコンポーネントに仕込まれてる場合はアプリ開発者すら対処できない
くらいの話

16: 2018/08/14(火) 15:05:29.81 ID:yVVpy9CK
windows だろうが、macos だろうが、linux だろうが、、

> 外部からファイルダウンロード→実行
この1行のコマンドでクラッキングできるじゃん。

19: 2018/08/14(火) 15:11:00.38 ID:aHmoBdsD
>アクセシビリティ機能を悪用することで

ならアクセシビリティをオフにすれば良いだけ
はい終了

22: 2018/08/14(火) 15:24:09.63 ID:lGA9awUp
マック(笑)

24: 2018/08/14(火) 15:57:39.66 ID:pqoS09vn
2行に少し手を加えることで・・・って、簡単にできることなんだっけ?
端末側にソースコードがあるなら別だが

28: 2018/08/14(火) 17:13:36.47 ID:Ybn4WA+3
OSのコードを書き換えるような表現がおかしい

30: 2018/08/14(火) 17:18:17.90 ID:rfTOARJt
>>28
原文だと
「細工された」ニ行のコードでアップルの最新OSはクラックされる、だからね
中学生レベルの話

31: 2018/08/14(火) 17:21:01.41 ID:epV7c251
そもそも書き換え可能なOSな時点で脆弱なわけだが
書き換えができない前提なら2行だろうと2000000行だろうと
関係ない気がする

33: 2018/08/14(火) 17:45:18.74 ID:uorPIOUC
>>31
そんな作業は必要なく、アプリ側で細工したコードを実行するだけでいい
リンク先読んでこい無能

32: 2018/08/14(火) 17:28:22.71 ID:RGVFHjOQ
勝手にハッキングされたり、勝手にアップデイトされてはたまらない
Linuxが最高

34: 2018/08/14(火) 17:58:40.30 ID:0ndWu+Kk
中学生でもクラックし放題か

41: 2018/08/14(火) 20:08:02.48 ID:2Ei/YVEf
いつもの、開発者ならMacだ、Windows使うのは情弱って主張の人は、このスレに来ないの?

42: 2018/08/14(火) 21:42:39.22 ID:ZHq1Z9EK
そもそも今のMacってappストア以外のソフトインストールするのは自己責任なんじゃないの?

44: 2018/08/14(火) 23:01:57.27 ID:z+3ydbP1
store経由のは
アップルがリジェクトするから
野良アプリいれなきゃ大丈夫だろ

45: 2018/08/14(火) 23:17:47.11 ID:UyjZydZb
>>44
つまり野良アプリ禁止してるAppleのiOSという糞北朝鮮独裁OSは最低最悪の奴隷端末ってことだな

46: 2018/08/14(火) 23:39:07.06 ID:iXvMsG5i
>なお、次バージョンのmacOS「Mojave」では合成イベントをブロックすることで脅威を排除する対策が盛り込まれているとのことです。

なんかかなりヤバそうな穴なのにこんな悠長な事いってていいのか?
macってアンチウィルスアプリなんてほとんど入れないだろ?

47: 2018/08/14(火) 23:51:55.24 ID:UyjZydZb
>>46
Appleに文句言うやつはネットリンチ、Appleのせいで被害に遭ったという人もネットリンチ
それがApple教だからね

オウム真理教と同じ

67: 2018/08/15(水) 05:52:55.34 ID:wvvzUtVh
>>46
いや、AVGとか普通に入れますけど・・・
何年前のマカー観なの?

68: 2018/08/15(水) 09:44:22.07 ID:YVVte17d
>>46
Windwosユーザーがよくやる、
道に落ちてると拾って食べちゃうような行為を
しなければ大丈夫

50: 2018/08/15(水) 00:16:52.60 ID:YVVte17d
悪意があると思われるアプリを起動しなければ良いんだろ?

52: 2018/08/15(水) 00:23:23.10 ID:HV3nMxOk
OSの機能を呼ぶコードで出来るのか
High Sierraのコードって書いてあるから何事かと思ったよ

53: 2018/08/15(水) 00:42:32.73 ID:PBMpaR+n
ソフトウェアから自由が奪われていく
ストールマン尊師もお怒りだ

56: 2018/08/15(水) 01:14:19.39 ID:h61GhjY1
アクセシビリティ機能を使用するためには、管理者権限を持った上で
アプリごとに指定して手動で許可しないといけない
その上での話でしょ
あやしいアプリに管理者がそんな許可するなんてことある?

80: 2018/08/15(水) 16:47:37.29 ID:YVVte17d
Macはな、OSが付いてくるんだよ
お前らはどこからか盗んでこないと使えないけどな

60: 2018/08/15(水) 01:31:53.29 ID:66yHHFWf
プログラムコードを2行書き替えるだけで「見えないクリック」を使ってハッキングできる。そうmacならね。













1001: 以下おすすめ記事をお送りします

new_f6b3e24a
【画像】美少女さん、ハゲてしまうwwwww

【悲報】ワイたけし、親戚のガキから「ニートたけし」と呼ばれる

【悲報】面接官「今日はここまでどのように来ましたか?」←これの正しい回答www

雷さん、ワイの自宅に堕ちる・・・(※画像あり)

【難問】小学6年生の夏休みの課題が解けないンゴ・・・(※画像あり)

須藤凜々花「今しまくりです」 ←これwwwwwwww

毎日50000円が勝手に口座に入ってくる辛さわかるか???

【画像】俺 が 貼 る ボ ケ て で 笑 っ た ら 腹 筋 1 0 回

カツ丼を無銭飲食した男「警察呼んでくれ」店主「支払いは後でも良いから帰れ」

ワイ「暑すぎるっぴ!w」クーラーピッ 母嫌味「無職のくせに部屋でクーラーか…」ボソッ ←これ

このロシアの9歳の女の子と喧嘩して勝てる?

福岡のホテルで洗剤買ったらこれ渡されたんだけど…大丈夫だよな…?(※画像あり)

【画像あり】暑すぎて露出が半端ない水着を着るすごいJKさん現る

【話題】Twitter民「5年前から、自分の事をアメリカ人だと思って生きることにしてます」

『日本をダメにした10人の総理大臣』が発表されたぞwwwwww

ニート期間にリサーチしまくって楽な仕事についた結果wwwww

ロシア×中国の血が混じった結果・・・美少女すぎwwww(※画像あり) 

【闇深】メルカリ初心者の俺、連続で詐欺に引っ掛かるwww

美容師がリカちゃん人形の髪を本気でカットした結果www

【悲報】メルカリ民さん、犬を売ってしまう(画像あり)

【悲報】貧乏大学生わい、一日一食生活を3年間続けた結果・・・








引用元:http://egg.5ch.net/test/read.cgi/bizplus/1534223846/