image

Mac-apps in sandbox kunnen stilletjes screenshots maken

zondag 11 februari 2018, 12:05 door Redactie, 15 reacties

Alle apps voor macOS, ongeacht of ze zich in een sandbox bevinden, kunnen screenshots maken zonder dat de gebruiker hier weet van heeft, wat tot het lekken van gevoelige gegevens zoals wachtwoorden kan leiden. Daarvoor waarschuwt onderzoeker Felix Krause, tevens de ontwikkelaar van Fastlane.

De sandbox moet juist voorkomen dat apps zomaar toegang tot gegevens van de gebruiker krijgen, aldus de uitleg van Apple. Krause laat verder weten dat ook als de apps zich in de achtergrond bevinden ze nog steeds toegang tot "elke pixel" van de Mac hebben. Via standaard OCR-software is vervolgens de tekst op het scherm te lezen. Op deze manier kunnen bijvoorbeeld wachtwoorden en sleutels uit wachtwoordmanagers worden achterhaald. Ook kan de app zien van welke webdiensten de gebruiker gebruikmaakt, alsmede alle openstaande e-mails en berichten lezen.

Krause schetst verder een scenario waarbij de app allerlei persoonlijke informatie over de gebruiker te weten krijgt, zoals bankgegevens, salarisdetails en adresgegevens. De onderzoeker ontwikkelde een proof-of-concept om het "privacylek", zoals hij het probleem noemt, te demonstreren. Voor zover bekend is er op dit moment niets tegen te doen, aldus Krause, die Apple inmiddels heeft ingelicht. Wel draagt de onderzoeker verschillende oplossingen aan, zoals het vragen van toestemming aan de gebruiker of hem waarschuwen wanneer een app toegang tot het scherm krijgt.

Image

Reacties (15)
11-02-2018, 12:16 door Anoniem
Mijn wachtwoorden zien er altijd uit als **************************** dus knappe Felix als die via OCR dat om kan zetten in een echt wachtwoord.

Neemt niet weg dat Apps geen 'stille' screenshots moet kunnen nemen.
11-02-2018, 12:59 door Anoniem
Dan is de enige verklaring dat er uit de sandbox is te breken, wat vrij ernstig is.
Dat vraagt dus om een reparatie van Apple (patch).
11-02-2018, 13:38 door Anoniem
sleutels uit wachtwoordmanagers
Wachtwoordmanagers zijn er toch juist ook voor om te zorgen dat je een wachtwoord niet zichtbaar op het scherm hoeft te hebben? Copy/paste naar een wachtwoordveld dat alleen sterretjes of bolletjes laat zien.

Natuurlijk is toestemming vragen een goede oplossing.
11-02-2018, 16:51 door Anoniem
Maar ook in een wachtwoordmanager zijn er misschien situaties mogelijk dat je wachtwoord wel even zichtbaar is. Wanneer je bijvoorbeeld de gegevens bewerkt.
11-02-2018, 17:18 door Anoniem
PR ver-ultimisatie en security inflatie


Voor zover bekend is er op dit moment niets tegen te doen, aldus Krause

Haha, ja dat zou ik ook zeggen.
Kan ook wel kloppen als je het ontdekt hebt, niemand anders het nog wist, en er verder zelf geen (of weinig) moeite in hebt gestoken om naar een oplossing te zoeken.

Knap gevonden, daar niet van.
Maar geen oplossing?
Voor een gewone gebruiker misschien.
Maar het begrip hardening kan ook hier mogelijk worden toegepast met als resultaat (dat als het werkt) dat met een kleine uitleg erbij ook voor een gewone gebruiker haalbaar is.

Het betreffende bestand waar de code zich in bevindt heeft permissies toegewezen gekregen (zoals elk bestand), en voor de time beeing kan je die best wijzigen naar niet lezen voor het standaard account waaronder je werkt.
Dan kan je vermoedelijk geen screenshots maken, onder dat account.

Maar ik heb het nog niet getest, en ja, een andere malafide app (of dezelfde) zou dat weer kunnen terugaanpassen als het admin bevoegdheden zou hebben.
Maar als het er tijdelijk helemaal niet meer staat, dan niet.
Maar dan zou een malafide app met admin bevoegd heden weer ...

Ja, een malafide app met admin bevoegdheden kan heel veel, misschien ook wel een uber taxi bestellen met een handvol overvallers erin, tring tring, even opendoen.

Daarom ook maar proberen geen malafide app's te installeren.
Of een extra firewall erbij zodat de screenshots je mac niet kunnen verlaten.
Maar ja, die admin bevoegdheden hè.
En dat verrekte python weer dat je niet kan managen op je systeem.

Mooi ontdekt van this guy, maar ik moet nog zien dat het werkt op een systeem waar je met meerdere account werkt en simpel een extra firewall hebt ingesteld.
Had ik het al gezegd?

Nou vooruit; extra firewall configureren en bijvoorbeeld werken met whitelisting (en meer), als die nieuwe app niet in het lijstje staat kunnen de screenshots niet op vakantie.
Ook dat is te omzeilen met phishing trouwens, maar goed, het heeft wat voeten in de aarde en het is een beetje overdreven (uit eigenbelang) om te claimen dat er he-le-maal geen oplossingen denkbaar zouden zijn.

En in de principiele basis is dat nogal kwalijk te nemen gedrag dat veel voorkomt bij onderzoekers.
Want het gevolg is uiteindelijk dat het security debat ermee verliest, je verliest als av industrie vertrouwen waar men zo graag juist meer vertrouwen wil winnen van die mac gebruiker ($$$).

Overdrijven werkt averechts en vrijwel iedereen blijft het doen (ook ex-mac security'goeroe's die ineens wat anders roepen omdat ze van de baas het eigen av product moeten promoten, zo jammer, maar zo werkt het kennelijk. Voor hun dan maar niet voor de kritische gebruiker).

Moraal van het verhaal : wees heel kritisch met nieuwe app's, wacht even met installeren (als het heel nieuw is), haal het bij de app store of een te vertrouwen ontwikkelaar, lees erover her en der , en check desgewenst een shasum als die erbij wordt gegeven (want jengelen terwijl je de kans had te controleren is ook een beetje oversteken zonder naar het stoplicht te kijken).
11-02-2018, 17:34 door Anoniem
Nou fijn,ik hoop dat er wel snel een patch voor uitkomt dan eerder dan High Sierra 10.13.4
Dit lek wat door de heer Krause is ontdekt is zeer ernstig inderdaad.
Ik weet niet wat dit voor gevolgen heeft,voor de gewone gebruiker die zijn computer altijd up to date heeft.
Mogelijk ook nog een vpn gebruikt.
11-02-2018, 18:07 door NeoRGx2siioKeTsiOomNjiM
Is dit niet een forum om internet gerelateerde (misstanden en actualiteiten) te bespreken om mensen bewust te maken?
Om topics te bespreken i.p.v. alles en iedereen maar te gaan lopen afzeiken?

Op de basisschool heb je toch vast wel geleerd dat schelden op afstand erg laf is, of had je dat niveau direct overgeslagen?

Oh, waarom toch altijd dat gif spugen?
Heb je zelf dan wel iets toegevoegd ter oplossing?

Een onderzoeker, het woord zegt het al.
Een ict specialist, de omschrijving zegt het al.
Moet ik nog even doorgaan? Nee, de gemiddelde mens en daarboven begrijpt het al.


Wel draagt de onderzoeker verschillende oplossingen aan,
Wees blij dat er nog zulke mensen zijn die op zoek gaan naar misstanden en hun resultaten niet voor eigen gewin inzetten.

Overdrijven werkt averechts en vrijwel iedereen blijft het doen. (Ook ex-mac security'goeroe's die ineens wat anders roepen omdat ze van de baas het eigen av product moeten promoten, zo jammer, maar zo werkt het kennelijk. Voor hun dan,
maar niet voor de kritische gebruiker).

JOUW ZIN.
Je spreekt jezelf tegen.

Moraal van het verhaal : wees heel kritisch met nieuwe app's, wacht even met installeren (als het heel nieuw is), haal het bij de app store of een te vertrouwen ontwikkelaar, lees erover her en der , en check desgewenst een shasum als die erbij wordt gegeven (want jengelen terwijl je de kans had te controleren is ook een beetje oversteken zonder naar het stoplicht te kijken).

En hier ben ik het toch 100% mee eens, ik val je niet aan, dat heb je dan nu wel in de gaten, toch?

Jouw laatste opmerking, daaraan ontbreekt nog; probeer te achterhalen hoeveel gebruikers er zijn van zo'n app.
Bij bijvoorbeeld mozilla kun je dat heel gemakkelijk achterhalen.

De moraal van mijn verhaal; wacht even met afkraken, probeer iets constructiefs toe te voegen en houd elkaar in ere.

Nogmaals, ik val je hiermee niet aan.
Ik vind het gewoon jammer dat we op deze site zoveel ballistische teksten tegen komen.

Maar ja, wie ben ik, ik ben ook (nog) niet foutloos.

Ik dank u allen.
11-02-2018, 18:54 door Anoniem
Zonder dat echt duidelijk is waar je nu op reageert
Door NeoRGx2siioKeTsiOomNjiM: Is dit niet een forum om internet gerelateerde (misstanden en actualiteiten) te bespreken om mensen bewust te maken?
Dat was het idee en dat gebeurt ook nog wel, ook in dit topic.

Om topics te bespreken i.p.v. alles en iedereen maar te gaan lopen afzeiken?
Dat laatste gebeurt vaak wel onder Mac topics maar is nu nog niet aan de hand, de grootste kraker (met 0 verstand van apple producten maar wel fan is van wikipedia en eigen invulling aan feiten) die heeft zich nog niet gemeld.
Ging dus nog heel goed in dit topic, ging.

Op de basisschool heb je toch vast wel geleerd dat schelden op afstand erg laf is, of had je dat niveau direct overgeslagen?
Er wordt niet gescholden.
Oh, waarom toch altijd dat gif spugen?
Er wordt niet gescholden en ook niet gespuugd, wel worden er kritosche noten gekraakt en hier en daar ook nog met een glimlach, wat wil je nog meer, lees je eerste opmerking even terug, dat is precies wat er wel gebeurt in dit topic.

Heb je zelf dan wel iets toegevoegd ter oplossing?
Heb je het topic wel gelezen, snapte je wat er stond?
Er is zeker over oplossingen gesproken.
Heel eenvoudige zelfs!

Een onderzoeker, het woord zegt het al.
Een ict specialist, de omschrijving zegt het al.
Moet ik nog even doorgaan? Nee, de gemiddelde mens en daarboven begrijpt het al.
Ik snap er niets van!
Van wat je punt is.

Wel draagt de onderzoeker verschillende oplossingen aan,
Wees blij dat er nog zulke mensen zijn die op zoek gaan naar misstanden en hun resultaten niet voor eigen gewin inzetten.
Nee de onderzoeker draagt geen oplossingen aan want zijn stelling is dat er geen oplossing is (voor zover hij weet).

Het lijkt erop dat er meerdere oplossingen zijn die het risico aanmerkelijk kunnen verlagen tot elimineren en dat wordt hoier ook geoppert?

Klopt mijn lichtevermoeden dat je helemaal geen Mac hebt en geen idee hebt waar het over gaat (security op een Mac).

Overdrijven werkt averechts en vrijwel iedereen blijft het doen. (Ook ex-mac security'goeroe's die ineens wat anders roepen omdat ze van de baas het eigen av product moeten promoten, zo jammer, maar zo werkt het kennelijk. Voor hun dan,
maar niet voor de kritische gebruiker).
Heb je enig idee over welke security goeroe dat zou kunnen gaan en op welke 180 graden draai het zou kunnen gaan?
Nee?
Vragen staat vrij (voor de conclusie)

JOUW ZIN.
Je spreekt jezelf tegen.

Moraal van het verhaal : wees heel kritisch met nieuwe app's, wacht even met installeren (als het heel nieuw is), haal het bij de app store of een te vertrouwen ontwikkelaar, lees erover her en der , en check desgewenst een shasum als die erbij wordt gegeven (want jengelen terwijl je de kans had te controleren is ook een beetje oversteken zonder naar het stoplicht te kijken).

En hier ben ik het toch 100% mee eens, ik val je niet aan, dat heb je dan nu wel in de gaten, toch?
Ik denk dat je jezelf tegen spreekt want hier staat bijna alles opgesomd aan oplossingen wat jezelf eerder volledig ontkende dat die werden behandeld.

Jouw laatste opmerking, daaraan ontbreekt nog; probeer te achterhalen hoeveel gebruikers er zijn van zo'n app.
Bij bijvoorbeeld mozilla kun je dat heel gemakkelijk achterhalen.
??
De onderzoeker stelt dat alle apps in princiepe deze code kunnen aanroepen als ze zouden willen.
Wat moet er dan geteld worden? Alle apps die er bestaan??

De moraal van mijn verhaal; wacht even met afkraken, probeer iets constructiefs toe te voegen en houd elkaar in ere.
Met het geven van deze reactie is gepoogd duidelijk te maken dat je argumenten geen hout snijden en dat je deze eigen moraal vergeten bent zelf ter harte te nemen : je kraakt af en beschuldigt waar dat niet terecht is omdat het niet aan de hand is (tenzij je beargumenteerde kritiek als afkraken beschouwt).

Nogmaals, ik val je hiermee niet aan.
Ja dat doe je wel en je krijgt ook netjes antwoord omdat wat je stelt kant noch wal raakt.

Ik vind het gewoon jammer dat we op deze site zoveel ballistische teksten tegen komen.
Als je zelf niet had gereageerd, of niet op deze wijze hadden we daarvan een stuk minder gehad.

Maar ja, wie ben ik, ik ben ook (nog) niet foutloos.
Dat geeft op zich niets maar ik heb toch echt de indruk dat de kern van het onderwerp en de reacties niet jouw kern hebben kunnen bereiken.

Daarnaast vraag ik me af of je wel een mac gebruikt, hoeft niet maar het zou wel helpen.

Ik dank u allen.
tja, voor wat, de aandacht??
Wat was het hoofddoel van deze 'excercitie'?
11-02-2018, 22:14 door Anoniem
Test uitgevoerd

Op een ouder test systeem eens wat proefjes genomen.
Daar kwam de code waar de onderzoeker het over heeft voor in twee bestanden in diverse systeemmappen.

Het veranderen van permissies met als gevolg dat ze onder een standaard user account niet benaderbaar waren (of in ieder geval de permissies voor dat user account te blokkeren) hielp niet.
Zowel met het systeem zelf als via een andere app met screenshot functionaliteit konden screenshots worden gemaakt.
Zelfs wanneer de app alleen lokaal draaide zonder admin permissies kom het screenshots blijven maken.

Ook een test uitgevoerd door betreffende bestanden helemaal te verwijderen van het systeem (tussentijds opnieuw opstarten bij alle keren met wijzigingen) en opnieuw de screenshottest van het systeem als met een niet os x app dubbel en nog meer uitgevoerd.

Resultaat, het maakt geen zak uit of de betreffende bestanden (met de genoemde code erin) wel of niet benaderbaar is of wel of niet in de systeemmap of op het systeem staan.

Ik vraag me dus af hoe de vork dan in de steel zit met dit verhaal.
Zelf ben ik niet voldoende onderlegd om zijn verhaal technisch verder te doorgronden, het zou daarom interessant zijn als iemand anders met zowel verstand van code als OSX vanaf hier de testbal zou overnemen/oppakken.

Maar over het algemeen is die bereidheid in het algemeen tot onderzoek en experiment niet heel hoog, en vrijwel nihil als het om os x gaat.

Conclusie: permissie oplossing verhaal op betreffende bestanden werkt niet, het lijkt er dus op dat er andere bestanden worden aangeroepen die dit proces mogelijk maken.

Firewall idee blijft overeind, mits het misbruik plaatsvind met een app die geen internet nodig heeft.
En dat weten de misbruikers ook wel, niet voor niets dat apps als transmission daarvoor graag worden misbruikt (al had de downloadende gebruiker daar nou net weer wel een shasum kunnen controleren wat die gebruikers dan weer niet (allemaal) doen).

Story continues?
Maybe; with al little help from ..

17:18 Anoniem
11-02-2018, 23:13 door Anoniem
Door Anoniem: Mijn wachtwoorden zien er altijd uit als **************************** dus knappe Felix als die via OCR dat om kan zetten in een echt wachtwoord.

Neemt niet weg dat Apps geen 'stille' screenshots moet kunnen nemen.


Haha ook jouw O.S. is heus wel ´ergens´ vatbaar voor :-)
Niemand of geen enkel O.S. is 100% bulletproof.

Je kunt wel hard je best doen, maar we zien het wel op al die jaarlijkse hackerbijeenkomsten
wat er niet allemaal lek is, en dan nog de dagelijkse of wekelijkse of maandelijkse updates.

Linux, Mac, Unix, Windows, Playstation en noem ze allemaal maar op.
12-02-2018, 00:26 door Anoniem
Door NeoRGx2siioKeTsiOomNjiM: Is dit niet een forum om internet gerelateerde (misstanden en actualiteiten) te bespreken om mensen bewust te maken?
Om topics te bespreken i.p.v. alles en iedereen maar te gaan lopen afzeiken?

Op de basisschool heb je toch vast wel geleerd dat schelden op afstand erg laf is, of had je dat niveau direct overgeslagen?

Oh, waarom toch altijd dat gif spugen?
Heb je zelf dan wel iets toegevoegd ter oplossing?

Een onderzoeker, het woord zegt het al.
Een ict specialist, de omschrijving zegt het al.
Moet ik nog even doorgaan? Nee, de gemiddelde mens en daarboven begrijpt het al.


Wel draagt de onderzoeker verschillende oplossingen aan,
Wees blij dat er nog zulke mensen zijn die op zoek gaan naar misstanden en hun resultaten niet voor eigen gewin inzetten.

Overdrijven werkt averechts en vrijwel iedereen blijft het doen. (Ook ex-mac security'goeroe's die ineens wat anders roepen omdat ze van de baas het eigen av product moeten promoten, zo jammer, maar zo werkt het kennelijk. Voor hun dan,
maar niet voor de kritische gebruiker).

JOUW ZIN.
Je spreekt jezelf tegen.

Moraal van het verhaal : wees heel kritisch met nieuwe app's, wacht even met installeren (als het heel nieuw is), haal het bij de app store of een te vertrouwen ontwikkelaar, lees erover her en der , en check desgewenst een shasum als die erbij wordt gegeven (want jengelen terwijl je de kans had te controleren is ook een beetje oversteken zonder naar het stoplicht te kijken).

En hier ben ik het toch 100% mee eens, ik val je niet aan, dat heb je dan nu wel in de gaten, toch?

Jouw laatste opmerking, daaraan ontbreekt nog; probeer te achterhalen hoeveel gebruikers er zijn van zo'n app.
Bij bijvoorbeeld mozilla kun je dat heel gemakkelijk achterhalen.

De moraal van mijn verhaal; wacht even met afkraken, probeer iets constructiefs toe te voegen en houd elkaar in ere.

Nogmaals, ik val je hiermee niet aan.
Ik vind het gewoon jammer dat we op deze site zoveel ballistische teksten tegen komen.

Maar ja, wie ben ik, ik ben ook (nog) niet foutloos.

Ik dank u allen.

En iedereen heeft geen flauw idee tegen wie je het hebt, volgende keer misschien quoten? :]
12-02-2018, 07:21 door Anoniem
Door Anoniem: Nou fijn,ik hoop dat er wel snel een patch voor uitkomt dan eerder dan High Sierra 10.13.4
Dit lek wat door de heer Krause is ontdekt is zeer ernstig inderdaad.
Ik weet niet wat dit voor gevolgen heeft,voor de gewone gebruiker die zijn computer altijd up to date heeft.
Mogelijk ook nog een vpn gebruikt.

Deze Irresponsible disclosure van een aandachts geile 'onderzoeker' zal er voor zorgen dat er mogelijk eerder malware is die e.e.a. misbruikt dan dat er een patch is.
12-02-2018, 12:33 door Anoniem
Door Anoniem:
Door Anoniem: Nou fijn,ik hoop dat er wel snel een patch voor uitkomt dan eerder dan High Sierra 10.13.4
Dit lek wat door de heer Krause is ontdekt is zeer ernstig inderdaad.
Ik weet niet wat dit voor gevolgen heeft,voor de gewone gebruiker die zijn computer altijd up to date heeft.
Mogelijk ook nog een vpn gebruikt.

Deze Irresponsible disclosure van een aandachts geile 'onderzoeker' zal er voor zorgen dat er mogelijk eerder malware is die e.e.a. misbruikt dan dat er een patch is.

Ja het is inderdaad wat apart om het direct op straat te gooien als het zo'n breed lek zou zijn.
Maar de vraag is bij nader inzien hoe je lek definieert, want wat hij eigenlijk stelt is dat alle app's een bepaalde functionaliteit mogen aanroepen, namelijk het maken van screenshots.

Moet Apple nu elke app gaan beoordelen of het wel of niet oke is dat die app screenshotfunctionaliteit heeft?
Wat voor standaard functionaliteiten zijn er nog meer denkbaar om te misbruiken (dat wil zeggen in de zin van gebruik waar het eigenlijk niet voor bedoeld was)?
Klinkt een beetje als het schroevendraaier/beitel/hamer/koevoet verhaal, je kan het kopen in de bouwmarkt, en sommigen vinden dat dat dan gemonitord moet worden.

Apple zou dat bouwmarktvoorbeeld in variatie kunnen volgen door een extra optie toe te voegen onder Accessebility options, een screenshotpermissie optie erbij met een menu structuur als onder notifications. Dan zou je expliciet per app kunnen aangeven of ze wel of niet sceenshots mag maken o dat geen enkele app dat mag.
Want laten we wel wezen, de toetsenbord combi's op de mac voor het maken van screenshots zijn ook weer niet zo heel lastig te onthouden.

Wat betreft dit nieuws, het lijkt er niet op dat het wil aanslaan, als je er op duckduckt komt alleen de site van de melder zelf voorbij in en eerste paar paginas.
12-02-2018, 13:04 door Anoniem
Zit hier een (tijdelijke) uitschakel oplossing?
Discussion

Any windows that are onscreen but whose sharing setting is set to kCGWindowSharingNone are skipped and not included in the resulting image. If this results in no windows being available in the selected range, this function returns NULL.
https://developer.apple.com/documentation/coregraphics/1454852-cgwindowlistcreateimage?language=objc
13-02-2018, 10:25 door Anoniem
Door Anoniem:
Door Anoniem: Mijn wachtwoorden zien er altijd uit als **************************** dus knappe Felix als die via OCR dat om kan zetten in een echt wachtwoord.

Neemt niet weg dat Apps geen 'stille' screenshots moet kunnen nemen.


Haha ook jouw O.S. is heus wel ´ergens´ vatbaar voor :-)
Niemand of geen enkel O.S. is 100% bulletproof.

Je kunt wel hard je best doen, maar we zien het wel op al die jaarlijkse hackerbijeenkomsten
wat er niet allemaal lek is, en dan nog de dagelijkse of wekelijkse of maandelijkse updates.

Linux, Mac, Unix, Windows, Playstation en noem ze allemaal maar op.

Klopt, vertrouw dus nooit alleen op je OS maar neem aanvullende maatregelen. In mijn geval zou Little Snitch moeten voorkomen dat het screenshho ook daadwerkelijk verzonden kan worden zonder dat ik gealarmeerd zou moeten zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.