苹果(Apple)稍早释出 Mac 最新 macOS Big Sur 11.4 操作系统更新;这次更新除了新增 Podcast 订阅功能,也修复许多先前错误。值得注意的是,这次也修复 macOS 的严重缺陷,可让骇客偷录使用者 Mac 屏幕的重要资讯,甚至撷取文件资料等。
macOS 缺陷是恶意软件 XCSSET,最早 2020 年 8 月由趋势科技发现;苹果长期设备管理合作伙伴 Jamf 也发现,近期 XCSSET 有越来越活跃的迹象。
XCSSET 可绕过名为 Transparency Consent and Control(TCC)的 macOS 隐私保护功能,如果 TCC 无法发挥作用,可能会影响用户的隐私操作(例如拍照或屏幕录影)。骇客可透过 XCSSET 恶意软件劫持应用程序的使用权限,进而让 TCC 无法正常执行。
Jamf 在官方部落格以 Zoom 为例,如果在 Mac 执行 Zoom,植入 XCSSET 恶意软件的 Mac 有可能在视讯会议过程撷取屏幕截图,甚至直接录下整场会议,且因为绕过 TCC 功能,因此骇客执行时,系统不会跳出要用户同意的提示。
- Update Your Mac Now: Nasty Hack Breaks Apple Security To Take Sneaky Photos
(首图来源:科技新报)
