Een combinatie van vijf beveiligingslekken in MacOS maakten het mogelijk om MacBooks zonder enige interactie van gebruikers op afstand over te nemen. Enige voorwaarde was dat bluetooth stond ingeschakeld. Afgelopen dinsdag kwam Apple met een update voor het vijfde beveiligingslek.

De overige vier kwetsbaarheden werden eind januari al gepatcht. Onderzoeker Jianjun Dai van securitybedrijf Qihoo 360 die de problemen ontdekte en aan Apple rapporteerde heeft nu details over twee van de vijf kwetsbaarheden openbaar gemaakt. De onderzoeker zal echter geen exploitcode vrijgeven om MacBooks mee aan te vallen. "Als je het interessant vindt kun je proberen om de exploit zelf te reproduceren", zo merkt hij op.

Volgens Dai zijn kwetsbaarheden en exploits waarbij er geen interactie van gebruikers is vereist, ook wel zero-click exploits genoemd, de afgelopen jaren steeds populairder geworden en zijn beloningen hiervoor flink gestegen. Zo looft Apple 1 miljoen dollar uit voor kwetsbaarheden waarbij er geen interactie van de gebruiker is vereist om op afstand de kernel van een iOS-toestel over te nemen.

In het geval van de kwetsbaarheden in MacOS die door de Dai waren gevonden volstond het om kwaadaardige bluetooth-pakketjes naar een kwetsbaar systeem te sturen. Vervolgens was het mogelijk om willekeurige code met kernelrechten uit te voeren en zo volledige controle over de MacBook te krijgen.

De onderzoeker meldde de beveiligingslekken op 1 december 2019 aan Apple. Op 28 januari werden de eerste vier kwetsbaarheden via macOS Catalina 10.15.3, Security Update 2020-001 Mojave en Security Update 2020-001 High Sierra verholpen. Afgelopen dinsdag volgde met macOS Catalina 10.15.4, Security Update 2020-002 Mojave en Security Update 2020-002 High Sierra de patch voor het laatste lek.