macOS的“系统弹窗”,其实可能被黑客利用了! 漏洞代号CVE-2025-31250,看似正常的系统弹窗,可能是攻击者伪造的。 问题出在macOS的TCC权限管理系统,用户点击“信任”按钮后,你可能已经帮攻击者打开了麦克风、摄像头,甚至允许了更深层的控制权限。 比如,你打开Safari浏览器,突然跳出一个“麦克风权限请求”,你可能会觉得合理,然后点击“允许”。 这件事提醒我们: - 不要轻易点击任何权限弹窗,特别是那种来路不明的; - 如果你不确定哪个App在请求权限,先点“拒绝”; - 在“系统设置 - 隐私与安全性”下的“自动化”一栏,可以查看Apple Events相关权限; - 系统自带的命令行工具`tccutil`,可以查看和撤销权限; - 安装App时,尽量选择App Store下载来源,避免下载未知来源的软件; - 有能力的用户,可以使用Apple Endpoint Security框架,监控权限变动; - 安装系统更新时,别只看数字版本,也要关注有没有安全补丁。 目前,这个漏洞只在macOS Sequoia 15.5被修复。macOS Ventura 13.7.6和Sonoma 14.7.6还未修补,依然可以复现漏洞。 下次看到弹窗时,多问自己一句:它真的是你打开的App弹出来的吗? ---下面是漏洞解析,偏技术向--- macOS的TCC权限,底层依赖的是一个私有API,通过向`tccd`守护进程发送XPC消息完成权限请求。 正常情况下,系统会校验请求的来源 App 和显示的名称是否一致。 但在`TCCAccessRequestIndirect`这个函数的实现中,Apple留了一个“设计不一致”的漏洞: - XPC消息中的`target_path`用于展示弹窗中显示的App名; - `target_identifier`决定实际写入TCC权限数据库的是谁; - 而这两个字段在这段逻辑中没有强制一致性校验。 攻击者正是利用了这点,伪造出了一个权限请求,展示一个可信App的名字,但把权限给了其他App。 值得一提的是,早期macOS的`tccd`,曾被曝使用`$HOME`环境变量来决定权限数据库路径,这在当年,还引发过一次TCC完全绕过攻击(漏洞代号CVE-2020-9934)。 感兴趣的小伙伴可以查看原文:-who/
