木马程式开采MacOS零时差漏洞暗中录制屏幕

安全厂商Jamf Protect侦测小组发现，一只名为XCSSET的木马程式，可开采操作系统安全漏洞，绕过Mac电脑内建安全防护，偷偷录制电脑屏幕取得敏感资料。所幸苹果今天释出macOS Big Sur 11.4更新解决该问题。

这只XCSSET是去年趋势科技首先发现。一开始，研究人员知道它专门利用两个零时差漏洞。第一个用来窃取Safari浏览器cookies，搜集重要资讯，包括账号、密码等，另一个则是绕过用户通知，以安装开发商版本的Safari应用程序。

Jamf团队则在近日研究中，发现XCSSET作者还利用第三个零时差漏洞CVE-2021-30713，来绕过苹果的透明度同意与控管（Transparency Consent and Control，TCC）框架。TCC主要用以控制应用可存取资源，像是同意影像协同软件存取网络摄影机和麦克风，以进行虚拟会议。CVE-2021-30713漏洞可让攻击者未获得用户明显同意下，取得完整硬盘存取、屏幕录制或其他授权。

Jamf研究人员近日侦测到XCSSET变种活动有上升的情形，这只恶意程式着重录制屏幕画面。XCSSET进入Mac电脑中后，会搜寻受害者电脑中常获得屏幕共享的其他App，像是Zoom、WhatsApp和Slack，并在这些App中注射录制屏幕的程式码。这就等于附身在合法App上，并承袭它们的权限。然后又继续以新的凭证签发App bundle，以躲过macOS内建的公证（notarization）机制。

研究人员提醒，比起XCSSET，更需注意CVE-2021-30713这项漏洞，因为它能给予麦克风、Web摄影机及侧盘侧录的存取权限，而进行录音、监控或窃取信用卡账号及密码。

苹果则于今天（5/25）释出的macOS 11.4更新版中修补该漏洞，其他功能则包括强化数款AMD GPU、Podcast App中的付费订阅支援，并修补了Safari、Preview在搜寻PDF文件时、Photos汇出等问题。