Уязвимость в macOS может использоваться для кражи данных через рекламное ПО

Специалисты Microsoft предупреждают, что недавно исправленная уязвимость CVE-2024-44133 в macOS может быть использована в атаках рекламного ПО. Проблема позволяет обойти технологию Transparency, Consent, and Control (TCC) и получить доступ к личным данным пользователя.

Apple устранила баг в macOS Sequoia 15 в середине сентября, отметив, что он затрагивает только устройства с MDM-управлением. Однако исследователи Microsoft утверждают, что уязвимость может быть использована для кражи данных через рекламное ПО.

Уязвимость HM Surf позволяет изменить файлы Safari и заставить браузер загрузить страницу, которая может сделать снимок через камеру и получить доступ к месту расположения устройства без согласия пользователя. Злоумышленники могут использовать этот баг для создания снимков, записи видео с камеры, записи микрофона, стриминга аудио и получения доступа к местоположению устройства.

Важно отметить, что TCC предназначена для защиты личных данных пользователей, но некоторые приложения Apple, включая Safari, имеют специальные привилегии, которые позволяют им обойти TCC. Специалисты Microsoft рекомендуют пользователям macOS обновить свои устройства до последней версии операционной системы, чтобы устранить уязвимость.

Ранее ITinfo сообщало, что «Домклик» представляет нейросетевую помощь в поиске жилья.