macOS Dangerous Entitlements & TCC perms
Зверніть увагу, що права, які починаються з com.apple
, недоступні для третіх осіб, лише Apple може їх надати.
High
com.apple.rootless.install.heritable
com.apple.rootless.install.heritable
Права com.apple.rootless.install.heritable
дозволяють обійти SIP. Перевірте це для отримання додаткової інформації.
com.apple.rootless.install
com.apple.rootless.install
Права com.apple.rootless.install
дозволяють обійти SIP. Перевірте це для отримання додаткової інформації.
com.apple.system-task-ports
(раніше називався task_for_pid-allow
)
com.apple.system-task-ports
(раніше називався task_for_pid-allow
)Ці права дозволяють отримати порт завдання для будь-якого процесу, за винятком ядра. Перевірте це для отримання додаткової інформації.
com.apple.security.get-task-allow
com.apple.security.get-task-allow
Ці права дозволяють іншим процесам з правами com.apple.security.cs.debugger
отримати порт завдання процесу, запущеного бінарним файлом з цими правами, і впроваджувати код у нього. Перевірте це для отримання додаткової інформації.
com.apple.security.cs.debugger
com.apple.security.cs.debugger
Додатки з правами інструменту налагодження можуть викликати task_for_pid()
, щоб отримати дійсний порт завдання для незахищених і сторонніх додатків з правами Get Task Allow
, встановленими на true
. Однак, навіть з правами інструменту налагодження, налагоджувач не може отримати порти завдання процесів, які не мають прав Get Task Allow
, і які, отже, захищені захистом цілісності системи. Перевірте це для отримання додаткової інформації.
com.apple.security.cs.disable-library-validation
com.apple.security.cs.disable-library-validation
Ці права дозволяють завантажувати фрейми, плагіни або бібліотеки без підпису Apple або підпису з тим же ідентифікатором команди, як основний виконуваний файл, тому зловмисник може зловживати завантаженням довільної бібліотеки для впровадження коду. Перевірте це для отримання додаткової інформації.
com.apple.private.security.clear-library-validation
com.apple.private.security.clear-library-validation
Ці права дуже схожі на com.apple.security.cs.disable-library-validation
, але замість прямого відключення перевірки бібліотек, вони дозволяють процесу викликати системний виклик csops
, щоб відключити його.
Перевірте це для отримання додаткової інформації.
com.apple.security.cs.allow-dyld-environment-variables
com.apple.security.cs.allow-dyld-environment-variables
Ці права дозволяють використовувати змінні середовища DYLD, які можуть бути використані для впровадження бібліотек і коду. Перевірте це для отримання додаткової інформації.
com.apple.private.tcc.manager
або com.apple.rootless.storage
.TCC
com.apple.private.tcc.manager
або com.apple.rootless.storage
.TCC
Згідно з цим блогу і цим блогу, ці права дозволяють модифікувати базу даних TCC.
system.install.apple-software
та system.install.apple-software.standar-user
system.install.apple-software
та system.install.apple-software.standar-user
Ці права дозволяють встановлювати програмне забезпечення без запиту дозволів у користувача, що може бути корисним для підвищення привілеїв.
com.apple.private.security.kext-management
com.apple.private.security.kext-management
Права, необхідні для запиту ядра на завантаження розширення ядра.
com.apple.private.icloud-account-access
com.apple.private.icloud-account-access
Права com.apple.private.icloud-account-access
дозволяють спілкуватися з com.apple.iCloudHelper
XPC-сервісом, який надасть токени iCloud.
iMovie та Garageband мали ці права.
Для отримання більшої інформації про експлойт для отримання токенів icloud з цих прав перевірте доповідь: #OBTS v5.0: "Що відбувається на вашому Mac, залишається в iCloud Apple?!" - Wojciech Regula
com.apple.private.tcc.manager.check-by-audit-token
com.apple.private.tcc.manager.check-by-audit-token
TODO: Я не знаю, що це дозволяє робити
com.apple.private.apfs.revert-to-snapshot
com.apple.private.apfs.revert-to-snapshot
TODO: У цьому звіті зазначено, що це може бути використано для оновлення вмісту, захищеного SSV, після перезавантаження. Якщо ви знаєте, як це зробити, надішліть PR, будь ласка!
com.apple.private.apfs.create-sealed-snapshot
com.apple.private.apfs.create-sealed-snapshot
TODO: У цьому звіті зазначено, що це може бути використано для оновлення вмісту, захищеного SSV, після перезавантаження. Якщо ви знаєте, як це зробити, надішліть PR, будь ласка!
keychain-access-groups
keychain-access-groups
Ці права перераховують групи ключів, до яких має доступ додаток:
kTCCServiceSystemPolicyAllFiles
kTCCServiceSystemPolicyAllFiles
Надає Повний доступ до диска - один з найвищих дозволів TCC, які ви можете мати.
kTCCServiceAppleEvents
kTCCServiceAppleEvents
Дозволяє додатку надсилати події іншим додаткам, які зазвичай використовуються для автоматизації завдань. Контролюючи інші додатки, він може зловживати дозволами, наданими цими іншими додатками.
Наприклад, змушуючи їх запитувати у користувача його пароль:
Або змушуючи їх виконувати произвольні дії.
kTCCServiceEndpointSecurityClient
kTCCServiceEndpointSecurityClient
Дозволяє, серед інших дозволів, записувати базу даних TCC користувачів.
kTCCServiceSystemPolicySysAdminFiles
kTCCServiceSystemPolicySysAdminFiles
Дозволяє змінювати атрибут NFSHomeDirectory
користувача, що змінює шлях до його домашньої папки і, отже, дозволяє обійти TCC.
kTCCServiceSystemPolicyAppBundles
kTCCServiceSystemPolicyAppBundles
Дозволяє модифікувати файли всередині пакету додатків (всередині app.app), що заборонено за замовчуванням.
Можна перевірити, хто має цей доступ у Системних налаштуваннях > Конфіденційність та безпека > Управління додатками.
kTCCServiceAccessibility
kTCCServiceAccessibility
Процес зможе зловживати функціями доступності macOS, що означає, що, наприклад, він зможе натискати клавіші. Тому він може запитати доступ для контролю додатка, такого як Finder, і підтвердити діалог з цим дозволом.
Середній
com.apple.security.cs.allow-jit
com.apple.security.cs.allow-jit
Цей дозвіл дозволяє створювати пам'ять, яка є записуваною та виконуваною, передаючи прапорець MAP_JIT
функції системи mmap()
. Перевірте це для отримання додаткової інформації.
com.apple.security.cs.allow-unsigned-executable-memory
com.apple.security.cs.allow-unsigned-executable-memory
Цей дозвіл дозволяє перезаписувати або патчити C код, використовувати давно застарілу NSCreateObjectFileImageFromMemory
(яка є фундаментально небезпечною) або використовувати фреймворк DVDPlayback. Перевірте це для отримання додаткової інформації.
Включення цього дозволу піддає ваш додаток загальним вразливостям у мовах програмування з небезпечним управлінням пам'яттю. Уважно розгляньте, чи потрібен вашому додатку цей виняток.
com.apple.security.cs.disable-executable-page-protection
com.apple.security.cs.disable-executable-page-protection
Цей дозвіл дозволяє модифікувати секції своїх власних виконуваних файлів на диску, щоб примусово вийти. Перевірте це для отримання додаткової інформації.
Дозвіл на відключення захисту виконуваної пам'яті є екстремальним дозволом, який усуває основний захист безпеки з вашого додатку, що робить можливим для зловмисника переписати виконуваний код вашого додатку без виявлення. Вибирайте більш вузькі дозволи, якщо це можливо.
com.apple.security.cs.allow-relative-library-loads
com.apple.security.cs.allow-relative-library-loads
TODO
com.apple.private.nullfs_allow
com.apple.private.nullfs_allow
Цей дозвіл дозволяє монтувати файлову систему nullfs (заборонено за замовчуванням). Інструмент: mount_nullfs.
kTCCServiceAll
kTCCServiceAll
Згідно з цим блогом, цей дозвіл TCC зазвичай зустрічається у формі:
Дозволити процесу запитувати всі дозволи TCC.
kTCCServicePostEvent
kTCCServicePostEvent
Last updated