Хакеры могут прослушивать и фотографировать владельцев Mac через приложения Microsoft
Microsoft, ну ты чего?
Исследователи информационной безопасности из Cisco Talos нашли восемь уязвимостей в офисных приложениях Microsoft для macOS, которые могли использоваться для слежки за людьми. Ситуация, мягко говоря, вызывает холодок по коже, но и это не всё: в Microsoft считают проблему «низкоранговой» и не спешат её решать.
Пока что компания обновила только Microsoft Teams и OneNote, но Excel, PowerPoint, Word и Outlook всё ещё содержат эксплойт. Но как хакеры получили доступ к этим приложениям? В macOS есть система Transparency, Consent, and Control (TCC), которая выдаёт приложениям права на использование служб и функций устройства, например камеры, микрофона, геолокации и прочих. Уязвимости в программах Microsoft позволяли получить разрешение от этой системы без дополнительной проверки.
Поэтому вина лежит ещё и на плечах Apple. Эксперты из Cisco Talos подчеркнули, что компания должна внести изменения в TCC, чтобы сделать её безопаснее. По мнению исследователей, если приложение с правами подгрузило сторонние плагины, то системе необходимо ещё раз запросить доступ на выдачу разрешения у пользователя.