Камера и микрофон macOS под угрозой, предупреждает исследователь

Вредоносное ПО для Mac использует встроенную камеру и микрофон для тайного шпионажа

Патрик Уордл, директор по исследованиям в Synack, продемонстрировал, как вредоносное ПО может легко «пользоваться» законными сеансами видео и аудио, получая доступ к веб-камере и микрофону устройства macOS, скрывая свою шпионскую активность.

Вредоносное ПО с этой способностью должно уметь обнаруживать сеанс веб-камеры, инициированный пользователем, начинать свою собственную запись и завершать её, как только законный сеанс закончится, чтобы камера и светодиодный индикатор на аппаратном уровне могли выключиться.

Каждый MacBook, который Apple поставляла более десяти лет, был оснащен встроенной камерой и микрофоном. На MacBook есть светодиодный индикатор, который показывает, когда камера устройства активна. Согласно анализу Уордла, аппаратная безопасность для отключения светодиодного индикатора очень сильна. Однако существуют законные приложения, которые могут получить доступ к веб-камере, когда пользователь ожидает, что светодиодный индикатор загорится.

Уордл хотел определить, возможно ли «пользоваться» законным использованием камеры, используя несанкционированное приложение для отслеживания и записи пользователя macOS без его ведома. Оказалось, что веб-камера является общим ресурсом в macOS, что означает, что пользователи могут одновременно использовать как FaceTime, так и Skype, если они этого захотят.

«По сути, все, что делает вредоносное ПО, — это мониторинг системы macOS в поисках законного сеанса веб-камеры», — сказал Уордл. «Затем вредоносное ПО может получить доступ к веб-камере и начать запись локального пользователя.»

Тем не менее, есть несколько ограничений в сценарии атаки Уордла. Во-первых, пользователь macOS должен быть заражен вредоносным ПО из какого-либо источника, чтобы разрешить несанкционированное использование камеры. Уордл отметил, что были примеры законных приложений для macOS, которые каким-то образом были скомпрометированы и стали вредоносными. Сказав это, шансы на заражение вредоносным ПО относительно малы, только если пользователь скачивал подписанные приложения из магазина приложений Apple macOS.

«В последнее время наблюдается рост вредоносного ПО для macOS, которое осведомлено о веб-камере», — сказал он.

Вредоносное ПО OS.X Eleanor было впервые публично обнаружено в июле, и оно пыталось записывать пользователей Apple, отметил Уордл. Однако пользователи, случайно записанные вредоносным ПО Eleanor, имели индикатор камеры MacBook, который включался сам по себе, без того, чтобы другое приложение сначала запускало камеру, сказал он.

По мнению Уордла, пользователям должно быть легче заметить, когда индикатор камеры их устройства включается сам по себе, уведомляя их о том, что что-то не так.

«Если бы вместо этого они использовали эту технику и ждали законного использования, а затем записывали пользователя, вредоносное ПО Eleanor могло бы легко избежать обнаружения», — сказал Уордл.

Способность «пользоваться» существующим приложением не является уязвимостью, которую Apple могла бы или должна исправить, сказал Уордл. Он добавил, что наличие камеры в качестве общего ресурса может иметь смысл.

Уордл хочет инструмент для macOS, аналогичный тому, который предоставляется пользователям мобильного iOS, где, когда приложение впервые пытается получить доступ к камере, появляется всплывающее диалоговое окно с вопросом, хочет ли пользователь предоставить доступ.

«Я хотел бы, чтобы macOS была более похожа на iOS, где есть предупреждение, когда камера используется», — сказал Уордл. «Это позволило бы системе по-прежнему делиться веб-камерой, но если вредоносное ПО каким-то образом попытается получить доступ к вашей системе, вы увидите всплывающее окно с запросом на доступ.»

Хотя у Apple пока нет индикатора активности камеры для macOS, Уордл создал бесплатный инструмент под названием OverSight, который будет мониторить микрофон и веб-камеру и уведомлять пользователя каждый раз, когда камера и микрофон его Mac включаются.

OverSight способен идентифицировать любые процессы, которые получают доступ и используют встроенную камеру, распознавать их и позволять пользователям блокировать их:

В настоящее время, когда дело касается аудио, программное обеспечение может идентифицировать, что микрофон активирован, и предупреждать пользователей об этом факте.

Хотя всегда легко закрыть камеру, чтобы заблокировать тайную запись, сделать то же самое с микрофоном гораздо сложнее.

Несмотря на то, что Уордл осведомлен о ограничениях инструмента, он говорит, что продолжит его улучшать.

«Как и с любым инструментом безопасности, прямые или проактивные попытки специально обойти защиты OverSight, вероятно, будут успешными», — отметил он.

«Более того, текущая версия OverSight использует API пользовательского режима для мониторинга аудио и видео событий. Таким образом, любое вредоносное ПО, которое имеет компонент в режиме ядра или руткит, может получить доступ к веб-камере и микрофону незамеченным.»

Источник: eWEEK