Câmera e microfone do macOS da Apple em risco, alerta pesquisador

Malware para Mac usa câmera e microfone embutidos para espionar você secretamente

Patrick Wardle, Diretor de Pesquisa da Synack, demonstrou como o malware poderia facilmente “se aproveitar” de sessões de vídeo e áudio iniciadas pelo usuário, ganhando acesso à webcam e ao microfone de um dispositivo macOS enquanto mantinha sua atividade de espionagem oculta.

Malware com essa habilidade precisa ser capaz de detectar uma sessão de webcam iniciada pelo usuário, iniciar sua própria gravação e encerrá-la assim que a sessão legítima terminar, para que a câmera e o indicador LED baseado em hardware possam desligar.

Todo MacBook que a Apple enviou por mais de uma década vem equipado com uma câmera e um microfone embutidos. Há uma luz LED em um MacBook que indica quando a câmera do dispositivo está ativa. De acordo com a análise de Wardle, a segurança de hardware para desativar o indicador LED é muito forte. No entanto, existem aplicativos legítimos que podem acessar uma webcam quando um usuário esperaria que a luz LED acendesse.

Wardle queria determinar, usando um aplicativo não autorizado para rastrear e gravar um usuário do macOS sem seu conhecimento, se era possível se aproveitar do uso legítimo da câmera. Acontece que a webcam é um recurso compartilhado no macOS, o que significa que os usuários poderiam possivelmente usar tanto o FaceTime quanto o Skype simultaneamente, se assim desejassem.

“Basicamente, tudo o que o malware faz é monitorar um sistema macOS em busca de uma sessão legítima de webcam”, disse Wardle. “O malware pode então acessar a webcam e começar a gravar o usuário local.”

No entanto, existem algumas limitações para o cenário de ataque de Wardle. Em primeiro lugar, o usuário do macOS precisa estar infectado com malware de alguma fonte para permitir o uso não autorizado da câmera. Houve exemplos de aplicativos legítimos do macOS que foram comprometidos de alguma forma para se tornarem malware, observou Wardle. Dito isso, as chances de uma infecção por malware são relativamente pequenas, apenas se um usuário baixou aplicativos assinados da loja de aplicativos do macOS da Apple.

“Houve um aumento recente no malware para macOS que está ciente da webcam”, disse ele.

O malware OS.X Eleanor foi detectado publicamente pela primeira vez em julho, que tentou gravar usuários da Apple, observou Wardle. No entanto, os usuários gravados aleatoriamente pelo malware Eleanor com um indicador de câmera LED do MacBook que acendeu por conta própria, sem que outro aplicativo iniciasse primeiro a câmera, disse ele.

Na visão de Wardle, deveria ser mais fácil para os usuários perceberem que o indicador LED da câmera de seus dispositivos acende por conta própria, notificando-os de que algo está errado.

“Se em vez disso eles tivessem usado essa técnica e esperado pelo uso legítimo e então gravado o usuário, o malware Eleanor poderia facilmente ter evitado a detecção”, disse Wardle.

A capacidade de se aproveitar de um aplicativo existente não é necessariamente uma vulnerabilidade que a Apple poderia ou deveria corrigir, disse Wardle. Ele acrescentou que ter a câmera como um recurso compartilhado pode fazer sentido.

Wardle deseja uma ferramenta para macOS semelhante à que é fornecida aos usuários móveis do iOS, onde, quando um aplicativo tenta acessar a câmera pela primeira vez, uma caixa de diálogo pop-up aparece perguntando ao usuário se ele ou ela deseja conceder acesso.

“Eu gostaria que o macOS fosse mais como o iOS, onde há um alerta quando a câmera é acessada”, disse Wardle. “Isso permitiria que o sistema ainda compartilhasse a webcam, mas se o malware de alguma forma tentasse acessar seu sistema, você veria um pedido de acesso em pop-up.”

Embora a Apple ainda não tenha um indicador de atividade da câmera para o macOS, Wardle construiu uma ferramenta gratuita chamada OverSight que monitora o microfone e a webcam e notificaria o usuário toda vez que a câmera e o microfone do Mac fossem ativados.

OverSight é capaz de identificar todos os processos que acessam e usam a câmera embutida, reconhecê-los e permitir que os usuários os bloqueiem:

Atualmente, quando se trata de áudio, o software é capaz de identificar que o microfone está ativado e alertar os usuários sobre esse fato.

Embora seja sempre fácil cobrir sua câmera para bloquear gravações secretas, é mais difícil fazer o mesmo com o microfone.

Embora Wardle esteja ciente das limitações da ferramenta, ele diz que continuará a melhorá-la.

“Como com qualquer ferramenta de segurança, tentativas diretas ou proativas de contornar as proteções do OverSight provavelmente terão sucesso”, observou ele.

“Além disso, a versão atual do OverSight utiliza APIs em modo de usuário para monitorar eventos de áudio e vídeo. Assim, qualquer malware que tenha um componente em modo kernel ou rootkit pode ser capaz de acessar a webcam e o microfone de maneira indetectável.”

Fonte: eWEEK