macOS Dangerous Entitlements & TCC perms
Napomena: ovlašćenja koja počinju sa com.apple nisu dostupna trećim stranama, samo Apple može da ih dodeli.
High
com.apple.rootless.install.heritable
com.apple.rootless.install.heritableOvlašćenje com.apple.rootless.install.heritable omogućava obiđite SIP. Proverite ovo za više informacija.
com.apple.rootless.install
com.apple.rootless.installOvlašćenje com.apple.rootless.install omogućava obiđite SIP. Proverite ovo za više informacija.
com.apple.system-task-ports (ranije nazvano task_for_pid-allow)
com.apple.system-task-ports (ranije nazvano task_for_pid-allow)Ovo ovlašćenje omogućava dobijanje task porta za bilo koji proces, osim jezgra. Proverite ovo za više informacija.
com.apple.security.get-task-allow
com.apple.security.get-task-allowOvo ovlašćenje omogućava drugim procesima sa ovlašćenjem com.apple.security.cs.debugger da dobiju task port procesa koji pokreće binarni fajl sa ovim ovlašćenjem i ubace kod u njega. Proverite ovo za više informacija.
com.apple.security.cs.debugger
com.apple.security.cs.debuggerAplikacije sa ovlašćenjem Debugging Tool mogu pozvati task_for_pid() da dobiju važeći task port za nesignirane i treće strane aplikacije sa ovlašćenjem Get Task Allow postavljenim na true. Međutim, čak i sa ovlašćenjem alata za debagovanje, debager ne može dobiti task portove procesa koji nemaju ovlašćenje Get Task Allow, i koji su stoga zaštićeni zaštitom integriteta sistema. Proverite ovo za više informacija.
com.apple.security.cs.disable-library-validation
com.apple.security.cs.disable-library-validationOvo ovlašćenje omogućava učitavanje okvira, dodataka ili biblioteka bez da budu potpisani od strane Apple-a ili potpisani sa istim Team ID kao glavni izvršni fajl, tako da napadač može zloupotrebiti učitavanje neke proizvoljne biblioteke da ubaci kod. Proverite ovo za više informacija.
com.apple.private.security.clear-library-validation
com.apple.private.security.clear-library-validationOvo ovlašćenje je veoma slično com.apple.security.cs.disable-library-validation ali umesto da direktno onemogući validaciju biblioteka, omogućava procesu da pozove csops sistemski poziv da ga onemogući.
Proverite ovo za više informacija.
com.apple.security.cs.allow-dyld-environment-variables
com.apple.security.cs.allow-dyld-environment-variablesOvo ovlašćenje omogućava korišćenje DYLD promenljivih okruženja koje se mogu koristiti za ubacivanje biblioteka i koda. Proverite ovo za više informacija.
com.apple.private.tcc.manager ili com.apple.rootless.storage.TCC
com.apple.private.tcc.manager ili com.apple.rootless.storage.TCCPrema ovom blogu i ovom blogu, ova ovlašćenja omogućavaju modifikaciju TCC baze podataka.
system.install.apple-software i system.install.apple-software.standar-user
system.install.apple-software i system.install.apple-software.standar-userOva ovlašćenja omogućavaju instalaciju softvera bez traženja dozvola od korisnika, što može biti korisno za povećanje privilegija.
com.apple.private.security.kext-management
com.apple.private.security.kext-managementOvlašćenje potrebno za traženje od jezgra da učita kernel ekstenziju.
com.apple.private.icloud-account-access
com.apple.private.icloud-account-accessOvlašćenje com.apple.private.icloud-account-access omogućava komunikaciju sa com.apple.iCloudHelper XPC servisom koji će obezbediti iCloud tokene.
iMovie i Garageband su imale ovo ovlašćenje.
Za više informacija o eksploatu za dobijanje iCloud tokena iz tog ovlašćenja proverite predavanje: #OBTS v5.0: "Šta se dešava na vašem Mac-u, ostaje na Apple-ovom iCloud-u?!" - Wojciech Regula
com.apple.private.tcc.manager.check-by-audit-token
com.apple.private.tcc.manager.check-by-audit-tokenTODO: Ne znam šta ovo omogućava
com.apple.private.apfs.revert-to-snapshot
com.apple.private.apfs.revert-to-snapshotTODO: U ovoj izveštaju se pominje da bi ovo moglo biti korišćeno za ažuriranje SSV-zaštićenog sadržaja nakon ponovnog pokretanja. Ako znate kako, pošaljite PR, molim vas!
com.apple.private.apfs.create-sealed-snapshot
com.apple.private.apfs.create-sealed-snapshotTODO: U ovoj izveštaju se pominje da bi ovo moglo biti korišćeno za ažuriranje SSV-zaštićenog sadržaja nakon ponovnog pokretanja. Ako znate kako, pošaljite PR, molim vas!
keychain-access-groups
keychain-access-groupsOvo ovlašćenje lista keychain grupe kojima aplikacija ima pristup:
kTCCServiceSystemPolicyAllFiles
kTCCServiceSystemPolicyAllFilesDaje Potpunu pristup disku dozvole, jedna od najviših TCC dozvola koje možete imati.
kTCCServiceAppleEvents
kTCCServiceAppleEventsOmogućava aplikaciji da šalje događaje drugim aplikacijama koje se obično koriste za automatizaciju zadataka. Kontrolisanjem drugih aplikacija, može zloupotrebiti dozvole koje su dodeljene tim drugim aplikacijama.
Kao što je navođenje njih da traže od korisnika njegovu lozinku:
Ili da ih natera da izvrše arbitrarne radnje.
kTCCServiceEndpointSecurityClient
kTCCServiceEndpointSecurityClientOmogućava, između ostalog, da piše u TCC bazu podataka korisnika.
kTCCServiceSystemPolicySysAdminFiles
kTCCServiceSystemPolicySysAdminFilesOmogućava da promeni NFSHomeDirectory atribut korisnika koji menja putanju svog domaćeg foldera i tako omogućava da obiđe TCC.
kTCCServiceSystemPolicyAppBundles
kTCCServiceSystemPolicyAppBundlesOmogućava modifikaciju fajlova unutar aplikacija (unutar app.app), što je podrazumevano zabranjeno.
Moguće je proveriti ko ima ovaj pristup u System Settings > Privacy & Security > App Management.
kTCCServiceAccessibility
kTCCServiceAccessibilityProces će moći da zloupotrebi macOS funkcije pristupa, što znači da će, na primer, moći da pritisne tastere. Tako bi mogao da zatraži pristup za kontrolu aplikacije kao što je Finder i odobri dijalog sa ovom dozvolom.
Medium
com.apple.security.cs.allow-jit
com.apple.security.cs.allow-jitOva dozvola omogućava da se kreira memorija koja je zapisiva i izvršna prosleđivanjem MAP_JIT oznake mmap() sistemskoj funkciji. Proverite ovo za više informacija.
com.apple.security.cs.allow-unsigned-executable-memory
com.apple.security.cs.allow-unsigned-executable-memoryOva dozvola omogućava da se prepiše ili zakrpi C kod, koristi dugo zastareli NSCreateObjectFileImageFromMemory (koji je fundamentalno nesiguran), ili koristi DVDPlayback okvir. Proverite ovo za više informacija.
Uključivanje ove dozvole izlaže vašu aplikaciju uobičajenim ranjivostima u jezicima koji nisu sigurni za memoriju. Pažljivo razmotrite da li vaša aplikacija treba ovu izuzetak.
com.apple.security.cs.disable-executable-page-protection
com.apple.security.cs.disable-executable-page-protectionOva dozvola omogućava da se modifikuju sekcije vlastitih izvršnih fajlova na disku kako bi se prisilno izašlo. Proverite ovo za više informacija.
Dozvola za onemogućavanje zaštite izvršne memorije je ekstremna dozvola koja uklanja fundamentalnu sigurnosnu zaštitu iz vaše aplikacije, čineći mogućim da napadač prepisuje izvršni kod vaše aplikacije bez otkrivanja. Preferirajte uže dozvole ako je moguće.
com.apple.security.cs.allow-relative-library-loads
com.apple.security.cs.allow-relative-library-loadsTODO
com.apple.private.nullfs_allow
com.apple.private.nullfs_allowOva dozvola omogućava montiranje nullfs fajl sistema (zabranjeno podrazumevano). Alat: mount_nullfs.
kTCCServiceAll
kTCCServiceAllPrema ovom blog postu, ova TCC dozvola obično se nalazi u formi:
Dozvolite procesu da zatraži sve TCC dozvole.
kTCCServicePostEvent
kTCCServicePostEventLast updated
