macOS Dangerous Entitlements & TCC perms
Observe que as permissões que começam com com.apple não estão disponíveis para terceiros, apenas a Apple pode concedê-las.
Alto
com.apple.rootless.install.heritable
com.apple.rootless.install.heritableA permissão com.apple.rootless.install.heritable permite burlar o SIP. Verifique isto para mais informações.
com.apple.rootless.install
com.apple.rootless.installA permissão com.apple.rootless.install permite burlar o SIP. Verifique isto para mais informações.
com.apple.system-task-ports (anteriormente chamado task_for_pid-allow)
com.apple.system-task-ports (anteriormente chamado task_for_pid-allow)Essa permissão permite obter a porta de tarefa para qualquer processo, exceto o kernel. Verifique isto para mais informações.
com.apple.security.get-task-allow
com.apple.security.get-task-allowEssa permissão permite que outros processos com a permissão com.apple.security.cs.debugger obtenham a porta de tarefa do processo executado pelo binário com essa permissão e injetem código nele. Verifique isto para mais informações.
com.apple.security.cs.debugger
com.apple.security.cs.debuggerAplicativos com a Permissão da Ferramenta de Depuração podem chamar task_for_pid() para recuperar uma porta de tarefa válida para aplicativos não assinados e de terceiros com a permissão Get Task Allow definida como true. No entanto, mesmo com a permissão da ferramenta de depuração, um depurador não pode obter as portas de tarefa de processos que não possuem a permissão Get Task Allow, e que portanto são protegidos pela Proteção da Integridade do Sistema. Verifique isto para mais informações.
com.apple.security.cs.disable-library-validation
com.apple.security.cs.disable-library-validationEssa permissão permite carregar frameworks, plug-ins ou bibliotecas sem serem assinados pela Apple ou assinados com o mesmo ID de equipe que o executável principal, então um atacante poderia abusar de alguma carga de biblioteca arbitrária para injetar código. Verifique isto para mais informações.
com.apple.private.security.clear-library-validation
com.apple.private.security.clear-library-validationEssa permissão é muito semelhante a com.apple.security.cs.disable-library-validation mas em vez de desativar diretamente a validação da biblioteca, ela permite que o processo chame uma chamada de sistema csops para desativá-la.
Verifique isto para mais informações.
com.apple.security.cs.allow-dyld-environment-variables
com.apple.security.cs.allow-dyld-environment-variablesEssa permissão permite usar variáveis de ambiente DYLD que podem ser usadas para injetar bibliotecas e código. Verifique isto para mais informações.
com.apple.private.tcc.manager ou com.apple.rootless.storage.TCC
com.apple.private.tcc.manager ou com.apple.rootless.storage.TCCDe acordo com este blog e este blog, essas permissões permitem modificar o banco de dados TCC.
system.install.apple-software e system.install.apple-software.standar-user
system.install.apple-software e system.install.apple-software.standar-userEssas permissões permitem instalar software sem pedir permissão ao usuário, o que pode ser útil para uma escalada de privilégios.
com.apple.private.security.kext-management
com.apple.private.security.kext-managementPermissão necessária para solicitar ao kernel para carregar uma extensão de kernel.
com.apple.private.icloud-account-access
com.apple.private.icloud-account-accessA permissão com.apple.private.icloud-account-access é possível comunicar com o serviço XPC com.apple.iCloudHelper que fornecerá tokens do iCloud.
iMovie e Garageband tinham essa permissão.
Para mais informações sobre a exploração para obter tokens do iCloud dessa permissão, confira a palestra: #OBTS v5.0: "O que acontece no seu Mac, fica no iCloud da Apple?!" - Wojciech Regula
com.apple.private.tcc.manager.check-by-audit-token
com.apple.private.tcc.manager.check-by-audit-tokenTODO: Não sei o que isso permite fazer
com.apple.private.apfs.revert-to-snapshot
com.apple.private.apfs.revert-to-snapshotTODO: Em este relatório é mencionado que isso poderia ser usado para atualizar os conteúdos protegidos por SSV após um reinício. Se você souber como, envie um PR, por favor!
com.apple.private.apfs.create-sealed-snapshot
com.apple.private.apfs.create-sealed-snapshotTODO: Em este relatório é mencionado que isso poderia ser usado para atualizar os conteúdos protegidos por SSV após um reinício. Se você souber como, envie um PR, por favor!
keychain-access-groups
keychain-access-groupsEsta lista de permissões os grupos de keychain aos quais o aplicativo tem acesso:
kTCCServiceSystemPolicyAllFiles
kTCCServiceSystemPolicyAllFilesConcede permissões de Acesso Total ao Disco, uma das permissões mais altas do TCC que você pode ter.
kTCCServiceAppleEvents
kTCCServiceAppleEventsPermite que o aplicativo envie eventos para outras aplicações que são comumente usadas para automatizar tarefas. Controlando outros aplicativos, ele pode abusar das permissões concedidas a esses outros aplicativos.
Como fazê-los solicitar a senha do usuário:
Ou fazê-los realizar ações arbitrárias.
kTCCServiceEndpointSecurityClient
kTCCServiceEndpointSecurityClientPermite, entre outras permissões, escrever no banco de dados TCC dos usuários.
kTCCServiceSystemPolicySysAdminFiles
kTCCServiceSystemPolicySysAdminFilesPermite alterar o atributo NFSHomeDirectory de um usuário que altera o caminho da sua pasta pessoal e, portanto, permite burlar o TCC.
kTCCServiceSystemPolicyAppBundles
kTCCServiceSystemPolicyAppBundlesPermite modificar arquivos dentro dos pacotes de aplicativos (dentro do app.app), o que é desativado por padrão.
É possível verificar quem tem esse acesso em Preferências do Sistema > Privacidade e Segurança > Gerenciamento de Aplicativos.
kTCCServiceAccessibility
kTCCServiceAccessibilityO processo poderá abusar dos recursos de acessibilidade do macOS, o que significa que, por exemplo, ele poderá pressionar teclas. Assim, ele poderia solicitar acesso para controlar um aplicativo como o Finder e aprovar o diálogo com essa permissão.
Médio
com.apple.security.cs.allow-jit
com.apple.security.cs.allow-jitEsta permissão permite criar memória que é gravável e executável passando a flag MAP_JIT para a função do sistema mmap(). Verifique este link para mais informações.
com.apple.security.cs.allow-unsigned-executable-memory
com.apple.security.cs.allow-unsigned-executable-memoryEsta permissão permite substituir ou corrigir código C, usar o NSCreateObjectFileImageFromMemory (que é fundamentalmente inseguro) ou usar o framework DVDPlayback. Verifique este link para mais informações.
Incluir esta permissão expõe seu aplicativo a vulnerabilidades comuns em linguagens de código inseguras em relação à memória. Considere cuidadosamente se seu aplicativo precisa dessa exceção.
com.apple.security.cs.disable-executable-page-protection
com.apple.security.cs.disable-executable-page-protectionEsta permissão permite modificar seções de seus próprios arquivos executáveis no disco para sair forçadamente. Verifique este link para mais informações.
A Permissão de Desabilitar Proteção de Páginas Executáveis é uma permissão extrema que remove uma proteção de segurança fundamental do seu aplicativo, tornando possível para um atacante reescrever o código executável do seu aplicativo sem detecção. Prefira permissões mais restritas, se possível.
com.apple.security.cs.allow-relative-library-loads
com.apple.security.cs.allow-relative-library-loadsTODO
com.apple.private.nullfs_allow
com.apple.private.nullfs_allowEsta permissão permite montar um sistema de arquivos nullfs (proibido por padrão). Ferramenta: mount_nullfs.
kTCCServiceAll
kTCCServiceAllDe acordo com este post de blog, esta permissão do TCC geralmente é encontrada na forma:
Permitir que o processo solicite todas as permissões do TCC.
kTCCServicePostEvent
kTCCServicePostEventLast updated
