A Apple corrigiu recentemente uma grave vulnerabilidade no macOS que permitia a invasores ignorarem a Proteção de Integridade do Sistema (SIP) para instalar drivers de kernel maliciosos. Esse recurso, conhecido como SIP ou “rootless”, é uma camada crítica de segurança projetada para proteger arquivos e pastas essenciais do sistema contra alterações indevidas, mesmo de contas com privilégios de root.
A SIP limita alterações no sistema, permitindo apenas que processos assinados pela Apple ou com direitos especiais executem modificações. Normalmente, desativar essa proteção exige reiniciar o dispositivo em modo de recuperação, um processo que requer acesso físico ao Mac.
Detalhes da Vulnerabilidade
Identificada como CVE-2024-44243, a falha foi encontrada no daemon storagekitd, responsável pela manutenção do estado do disco no macOS. Para explorar essa vulnerabilidade, um invasor precisa ter privilégios de root e interação do usuário. Apesar disso, a complexidade técnica do ataque é considerada baixa.
Se explorada com sucesso, a falha permite que hackers:
- Contornem as restrições de segurança do SIP sem acesso físico ao dispositivo.
- Instalem rootkits ou drivers de kernel persistentes e difíceis de remover.
- Ignorem as verificações do TCC (Transparência, Consentimento e Controle), acessando dados sensíveis do usuário.
Notícias Relacionadas
Cobranças abusivas
Apple enfrenta acusação de mais de R$ 10 bilhões por cobranças abusivas na App Store
Apple é alvo de um processo de R$ 10,98 bilhões no Reino Unido, acusada de abusar de sua posição monopolista para cobrar comissões excessivas na App Store, impactando consumidores e desenvolvedores.
Críticas ácidas
Mark Zuckerberg critica falta de inovações da Apple
Mark Zuckerberg, CEO da Meta, compartilhou suas críticas à Apple durante uma visita ao podcast de Joe Rogan, destacando a falta de inovações significativas e apontando como a empresa tem dependido de estratégias como a comissão sobre a App Store para aumentar seus lucros.
Atualização de Segurança
A Apple corrigiu essa vulnerabilidade no dia 11 de dezembro de 2024, com o lançamento da atualização de segurança do macOS Sequoia 15.2.
Segundo a Microsoft, que relatou a falha, “a Proteção de Integridade do Sistema (SIP) é uma barreira essencial contra ameaças de malware, garantindo uma camada fundamental de proteção ao macOS”. A empresa destacou que a exploração dessa falha compromete todo o sistema operacional, podendo ter sérias implicações de segurança.
Histórico de Falhas Semelhantes
Pesquisadores de segurança da Microsoft já descobriram vulnerabilidades no SIP anteriormente, como:
- Shrootless (CVE-2021-30892): Permitia operações arbitrárias e instalação de rootkits em Macs comprometidos.
- Migraine (CVE-2023-32369): Outra falha recente que também burlava as proteções do SIP.
- Achilles (CVE-2022-42821): Utilizada para instalar malware em Macs, ignorando o Gatekeeper.
- Powerdir (CVE-2021-30970): Vulnerabilidade que contornava as restrições do TCC, permitindo acesso a dados protegidos.
Esses casos reforçam a necessidade de soluções de segurança robustas e atualizações frequentes para proteger os usuários contra possíveis ataques.
