Нарушение защиты TCC в macOS: пользовательские данные под угрозой

Операционная система macOS от компании Apple известна одним из самых надёжных механизмов защиты конфиденциальности пользователей — системой Transparency, Consent, and Control (TCC). Этот механизм ограничивает доступ приложений к микрофону, камере, документам, записи экрана и другим чувствительным данным без согласия пользователя.

Однако недавно обнаруженная уязвимость вызвала серьёзное беспокойство, поскольку позволяет полностью обойти систему TCC.

Подробности уязвимости

Уязвимость зарегистрирована под идентификатором CVE-2025-43530 и связана с VoiceOver — службой доступности для пользователей с нарушением зрения. Поскольку VoiceOver обладает широкими системными привилегиями, он может получать доступ к данным, на которые обычные приложения не имеют разрешения.

Проблема возникает через ScreenReader.framework и приватную службу com.apple.scrod. Несмотря на то, что эта служба считается доверенной Apple, недостатки в проверках позволяют злоумышленникам использовать её незаконно.

Как осуществляется атака

Уязвимость эксплуатируется двумя основными способами:

  1. Внедрение вредоносного кода в системные бинарные файлы (dylib injection).
    Механизм проверки macOS автоматически считает код доверенным, если он подписан Apple. Однако система не различает процессы, скомпрометированные злоумышленником. Наиболее опасно, что для этого не требуются права администратора.
  2. Атака TOCTOU (Time-of-Check-Time-of-Use).
    Приложение проверяется как безопасное, но в коротком промежутке между проверкой и запуском злоумышленник может изменить приложение. В результате вредоносный код запускается без какого-либо уведомления.

Использование обеих техник вместе позволяет полностью обойти механизм TCC.

Последствия и уровень угрозы

При успешной эксплуатации злоумышленник получает возможность:

  • Скрытно просматривать документы пользователя;
  • Использовать микрофон и камеру без разрешения;
  • Управлять файловой системой через Finder;
  • Отправлять AppleScript и AppleEvents любым приложениям;
  • Получать полный контроль над системой без запроса разрешений у пользователя.

Таким образом, защита TCC в macOS становится неэффективной.

Меры, принятые Apple

Компания Apple устранила проблему в версии macOS 26.2. Обновление включает кардинально переработанную систему проверки безопасности:

  • Теперь процессы должны обязательно иметь специальное разрешение (entitlement) “com.apple.private.accessibility.scrod”;
  • Проверка разрешений осуществляется не через файлы, а напрямую на уровне процесса с использованием аудит-токена;
  • Такой подход полностью предотвращает dylib injection и атаки TOCTOU.

Доступный PoC и реальная угроза

По данным отчёта на GitHub от пользователя jhftss, Proof of Concept (PoC) для этой уязвимости уже опубликован. Это значительно увеличивает вероятность её эксплуатации в реальных атаках.

Выводы и рекомендации

CVE-2025-43530 — одна из самых опасных уязвимостей TCC, обнаруженных в macOS за последние годы. Она напрямую угрожает конфиденциальности пользователей и демонстрирует, что даже самые современные механизмы защиты требуют постоянного тестирования и совершенствования.

🔐 Рекомендации для всех пользователей macOS:

  • Немедленно обновите систему до macOS 26.2 или выше;
  • Избегайте использования подозрительных приложений;
  • Регулярно устанавливайте все системные обновления.