A Microsoft revelou uma vulnerabilidade no framework Transparency, Consent, and Control (TCC) da Apple, utilizado no macOS, que pode permitir a invasão das configurações de privacidade e o acesso a dados dos usuários.
A falha, identificada como CVE-2024-44133 e apelidada de “HM Surf”, foi descoberta no TCC, um componente essencial para a proteção da privacidade no macOS. Esse framework é responsável por gerenciar como os aplicativos acessam informações confidenciais e recursos do sistema, exigindo o consentimento explícito do usuário antes de autorizar o acesso a determinados dados.
A exploração bem-sucedida dessa vulnerabilidade pode permitir que invasores contornem as proteções de privacidade e acessem dados de usuários sem a devida permissão.
O que é a falha HM Surf?
A falha HM Surf remove as proteções do TCC para o navegador Safari, permitindo o acesso a dados privados, como o histórico de navegação, a câmera, o microfone e a localização, sem o consentimento do usuário.
“O problema envolve a remoção das proteções TCC para o diretório do Safari e a modificação de um arquivo de configuração nesse diretório, concedendo acesso a dados do usuário sem a devida autorização”, explica o comunicado da Microsoft.
A Apple corrigiu essa vulnerabilidade com a atualização do macOS Sequoia 15.
Implicações para navegadores
Atualmente, as novas proteções do TCC são aplicadas apenas ao Safari. No entanto, a Microsoft informou outros desenvolvedores de navegadores sobre a questão e está colaborando para avaliar maneiras de reforçar a proteção dos arquivos de configuração locais.
O TCC no macOS exige que os aplicativos solicitem permissão explícita para acessar recursos sensíveis, como contatos, fotos e localização. No entanto, certos aplicativos, como o Safari, podem usar um direito especial chamado “com.apple.private.tcc.allow” para contornar essas verificações de segurança.
Como a falha HM Surf explora o Safari?
A vulnerabilidade aproveita uma série de etapas para manipular as proteções do Safari e acessar dados confidenciais. Entre os métodos utilizados, destacam-se a execução do Safari para explorar o acesso à câmera e outros dados sem consentimento, a modificação temporária do diretório inicial do usuário no macOS Sonoma, e a alteração de arquivos sensíveis como o PerSitePreferences.db.
A Microsoft observa que navegadores de terceiros não são afetados por essa falha, pois eles não possuem os privilégios privados da Apple.
Potencial de exploração
A Microsoft também alertou para atividades suspeitas ligadas à exploração dessa vulnerabilidade, com o objetivo de disseminar adware macOS AdLoad.
“Embora não tenhamos observado todos os passos dessa atividade, não podemos afirmar com certeza que a campanha de Adload está utilizando a vulnerabilidade HM Surf. No entanto, o uso de métodos similares pelos atacantes reforça a necessidade de proteção contra essa técnica”, conclui o relatório.