Eksploitasi Symlink di iOS dan macOS Membuka Jalan TCC Bypass

Detail telah muncul tentang kerentanan keamanan yang telah diperbaiki di iOS dan macOS milik Apple yang, jika berhasil dieksploitasi, dapat melewati framework Transparency, Consent, and Control (TCC) dan mengakibatkan akses tanpa izin ke informasi sensitif.

Kerentanan ini, yang dilacak sebagai CVE-2024-44131 (skor CVSS: 5.3), berada di komponen FileProvider, menurut Apple, dan telah ditangani dengan validasi simbolik link (symlink) yang lebih baik di iOS 18, iPadOS 18, dan macOS Sequoia 15.

Jamf Threat Labs, yang menemukan dan melaporkan kerentanan ini, mengatakan bahwa bypass TCC dapat dieksploitasi oleh aplikasi berbahaya yang terinstal di sistem untuk mengambil data sensitif tanpa sepengetahuan pengguna.

TCC berfungsi sebagai perlindungan keamanan penting di perangkat Apple, memberikan cara bagi pengguna untuk mengizinkan atau menolak permintaan dari aplikasi untuk mengakses data sensitif seperti lokasi GPS, kontak, dan foto, antara lain.

“This TCC bypass allows unauthorized access to files and folders, Health data, the microphone or camera, and more without alerting users,” kata perusahaan tersebut.
(“Bypass TCC ini memungkinkan akses tanpa izin ke file dan folder, data Kesehatan, mikrofon atau kamera, dan lainnya tanpa memberi peringatan kepada pengguna.”)

“Hal ini merusak kepercayaan pengguna terhadap keamanan perangkat iOS dan mengekspos data pribadi pada risiko.”

Pada intinya, kerentanan ini memungkinkan aplikasi berbahaya yang berjalan di latar belakang untuk mencegat tindakan yang dilakukan pengguna untuk menyalin atau memindahkan file di dalam aplikasi Files dan mengarahkannya ke lokasi di bawah kendali mereka.

Pembajakan ini bekerja dengan memanfaatkan hak istimewa yang ditingkatkan dari fileproviderd, sebuah daemon yang menangani operasi file yang terkait dengan iCloud dan manajer file cloud pihak ketiga lainnya, untuk memindahkan file, yang kemudian dapat diunggah ke server jarak jauh.

“Specifically, when a user moves or copies files or directories using Files.app within a directory accessible by a malicious app running in the background, the attacker can manipulate symlinks to deceive the Files app,” kata Jamf.
(“Secara spesifik, ketika seorang pengguna memindahkan atau menyalin file atau direktori menggunakan Files.app dalam direktori yang dapat diakses oleh aplikasi berbahaya yang berjalan di latar belakang, penyerang dapat memanipulasi symlink untuk menipu aplikasi Files.”)

“The new symlink attack method first copies an innocent file, providing a detectable signal to a malicious process that the copying has started. Then, a symlink is inserted after the copying process is already underway, effectively bypassing the symlink check.”
(“Metode serangan symlink baru ini pertama-tama menyalin file yang tidak berbahaya, memberikan sinyal yang dapat dideteksi ke proses berbahaya bahwa proses penyalinan telah dimulai. Kemudian, symlink dimasukkan setelah proses penyalinan sedang berlangsung, secara efektif melewati pemeriksaan symlink.”)

Seorang penyerang dapat menggunakan metode ini untuk menyalin, memindahkan, atau bahkan menghapus berbagai file dan direktori di jalur “/var/mobile/Library/Mobile Documents/” untuk mengakses data cadangan iCloud yang terkait dengan aplikasi pertama maupun pihak ketiga dan mengekfiltrasi data tersebut.

Yang signifikan tentang celah ini adalah bahwa celah ini sepenuhnya merusak framework TCC dan tidak memicu prompt apa pun kepada pengguna. Meskipun demikian, jenis data yang dapat diakses bergantung pada proses sistem mana yang menjalankan operasi file tersebut.

“The severity of these vulnerabilities depends on the privileges of the targeted process,” kata Jamf.
(“Tingkat keparahan kerentanan ini bergantung pada hak istimewa dari proses yang menjadi target.”)
“This reveals a gap in access control enforcement for certain data types, as not all data can be extracted without alert due to this race condition.”
(“Ini mengungkap celah dalam penegakan kontrol akses untuk jenis data tertentu, karena tidak semua data dapat diekstraksi tanpa peringatan karena kondisi balapan ini.”)

“For example, data within folders protected by randomly assigned UUIDs and data retrieved through specific APIs remain unaffected by this type of attack.”
(“Sebagai contoh, data dalam folder yang dilindungi oleh UUID yang ditugaskan secara acak dan data yang diambil melalui API tertentu tetap tidak terpengaruh oleh jenis serangan ini.”)

Perkembangan ini terjadi saat Apple merilis pembaruan untuk semua perangkat lunaknya guna memperbaiki beberapa masalah, termasuk empat kerentanan di WebKit yang dapat mengakibatkan kerusakan memori atau crash proses, serta kerentanan logika di Audio (CVE-2024-54529) yang dapat memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak kernel.

Apple juga memperbaiki bug di Safari (CVE-2024-44246) yang dapat memungkinkan sebuah situs web untuk mengetahui alamat IP asal ketika menambahkannya ke Reading List pada perangkat dengan Private Relay diaktifkan. Apple mengatakan telah memperbaiki masalah ini dengan “routing permintaan yang berasal dari Safari yang lebih baik.”

Referensi:

https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html

Stupa