Microsoftは1月10日、Microsoft Security Blog「New macOS vulnerability, “powerdir,” could lead to unauthorized user data access - Microsoft Security Blog」において、macOSに発見された「powerdir」と呼ばれる脆弱性に関する詳細な情報を公開した。

powerdirはmacOS MontereyおよびmacOS Big Surにおいて報告されていたTCC(Transparency, Consent and Control)に関する脆弱性で、「CVE-2021-30970」として追跡されている。攻撃者によって悪用されると、TCCによるアクセス制限をバイパスされユーザの個人情報を盗み出されるなどの被害を受ける恐れがある。

Appleでは、2021年12月13日にリリースしたmacOS Monterey 12.1およびmacOS Big Sur 11.6.2において、powerdirの脆弱性を修正している。したがってMicrosoftは、macOSのユーザーに対し、できるだけ早くこれらの対策バージョンにアップデートすることを推奨している。

  • CVE-2021-30965(powerdir)

    CVE-2021-30965(powerdir)

TCCはmacOSにインストールされたアプリがユーザーの事前の同意なしに個人情報にアクセスするのを防ぐための技術。TCCは各アプリがどの種類のデータにアクセスできるかを記録するデータベースを保持しており、ユーザーはシステム環境設定からそのデータベースを管理することができる。通常、アプリが事前の同意を得ていない許可データにアクセスしようとした場合、アクセスの許可を求めるプロンプトが表示される。

  • macOSの「セキュリティとプライバシー」設定

    macOSの「セキュリティとプライバシー」設定

powerdirを悪用した攻撃では、攻撃者は偽のTCCデータベースファイルを作成し、ディレクトリサービスコマンドラインユーティリティ「dscl」を使用してホームディレクトリを変更する。続いて、ユーザーのディレクトリサービスエントリをエクスポートし、出力されたファイルを操作した後に再度インポートすることによってTCCのポリシーを回避することができたという。

macOS Montereyではディレクトリサービスエントリのインポートツールの動作方法が変更されており、この攻撃方法はそのままでは動作しないが、システム構成デーモンのconfigdを利用することで、同様の攻撃が可能なことも確認されたとのことだ。

powerdirを利用したこの攻撃によって、攻撃者は任意のアプリケーションの設定を変更し、本来アクセスが許可されてないファイルにアクセスしたり、マイクやカメラへのアクセスを許可して個人情報を盗み出したりすることが可能になる。macOS Monterey 12.1およびmacOS Big Sur 11.6.2では、powerdir以外にも多くの脆弱性が修正されているため、できるだけ早くアップデートすることが推奨されている。