A Microsoft publicou um relatório sobre uma nova vulnerabilidade do macOS conhecida como “HM Surf”. Esta poderá potencialmente permitir que um hacker ultrapasse a tecnologia de Transparência, Consentimento e Controlo (TCC) do sistema operativo e obter acesso não autorizado aos dados protegidos do utilizador.

A vulnerabilidade remove essa proteção TCC do diretório do browser Safari e modifica o ficheiro de configuração para ganhar acesso aos dados do utilizador, tais como as páginas navegadas, a câmara do equipamento, o microfone e a localização sem o seu consentimento. Os hackers podem ter acesso ao stream da câmara e gravar as conversas captadas pelo microfone. E ainda aceder ao browser Safari, abrindo-o numa janela muito pequena para não alertar o utilizador.

A tecnológica diz que partilhou a investigação da vulnerabilidade com a Apple, que, entretanto, já disponibilizou a respetiva correção (CVE-2024-44133), como parte da atualização de segurança para macOS Sequoia lançada a 16 de setembro.

Do iOS 17 ao MacOS Sonoma e WatchOS 10: Apple aposta em experiências mais pessoais e intuitivas
Do iOS 17 ao MacOS Sonoma e WatchOS 10: Apple aposta em experiências mais pessoais e intuitivas
Ver artigo

Para já, apenas o browser Safari utiliza a nova proteção de TCC e a Microsoft pede aos utilizadores do macOS que atualizem os seus sistemas com estas correções, o mais rápido possível. A Microsoft está também a trabalhar com outros fornecedores de browsers para reforçar a segurança dos ficheiros de configuração.

A tecnologia TCC é a barreira de proteção que previne que as aplicações instaladas acedam à informação pessoal dos utilizadores, incluindo serviços de localização, que utilizem a câmara e o microfone ou que entrem na pasta de downloads, entre outros, sem o prévio consentimento dos titulares. Da forma correta, sempre que as apps necessitam de aceder a dados sensíveis do utilizador é lançada uma janela de notificação a pedir o respetivo acesso.

O problema em questão é que a Apple reserva alguns direitos (entitlements) para as suas próprias aplicações, chamados direitos privados. No caso do Safari, o browser por defeito do macOS tem poderosos direitos TCC que garantem acesso direto à câmara, microfone e outros dados pessoais. Ou seja, não “esbarram” nas verificações TCC normais.

A vulnerabilidade consegue dessa forma aproveitar-se dessas configurações especiais, algo que não acontece em outros browsers, como o Chrome, Firefox ou Edge por não terem as mesmas “regalias” e dessa forma enviam alertas ao utilizador sempre que precisam de aceder aos dados sensíveis. Dessa forma, a Apple fez agora um reforço na segurança dos seus ficheiros de configuração para evitar potenciais abusos de acesso no futuro. Pode consultar o relatório completo da Microsoft sobre a vulnerabilidade do macOS.