Die Sicherheitsexpert:innen von Cisco Talos haben eine offene Sicherheitslücke entdeckt. Diese steckt in Windows-Apps, die auf MacOS ausgeführt werden. Zu den betroffenen Apps zählen im Grunde alle Microsoft-Anwendungen wie Outlook, Word und Teams. Über diese Sicherheitslücke ist es Angreifer:innen möglich, auf die Webcam und das Mikrofon eines Macs zuzugreifen und somit Nutzer:innen auszuspionieren.

Der Angriff auf MacOS erfolgt über das sogenannte „Transparency Consent and Control“. Das ist ein Sicherheits-Feature von MacOS, das Nutzer:innen nach einer Erlaubnis fragt, sobald ein Programm etwa auf die Kamera oder das Mikrofon zugreifen möchte. So wird garantiert, dass sich die Programme nicht unbemerkt Zugang schaffen können.

Sobald Nutzer:innen Apps eine Erlaubnis erteilt oder verweigert haben, wird diese in der TCC-Datenbank abgespeichert. So müssen MacOS-Nutzer:innen nicht jedes Mal erneut gefragt werden. Das kann aber auch zu Problemen führen, wie die Sicherheitsexpert:innen zeigen. Sollte es Malware schaffen, schädlichen Code in die betroffenen Programme zu injizieren, kann sie deren Erlaubnisse einfach übernehmen.

Laut den Expert:innen liegt das an der Variable „com.apple.security.cs.disable-library-validation“, die in den Microsoft-Apps lange Zeit auf „true“ gesetzt war. Dadurch wird die TCC-Abfrage bei Programmen deaktiviert, die Plug-ins von Drittanbieter:innen laden möchten. Hat die eigentliche App schon eine Freigabe, um auf das System zuzugreifen, werden Nutzer:innen nicht noch einmal über den neuen Schritt benachrichtigt.

Heftet sich die Malware beispielsweise an Teams an und injiziert ihren Code, kann sie genau diese Variable ausnutzen und sich als Plug-in ausgeben. Dementsprechend würden Nutzer:innen keine Warnmeldung mehr bekommen, wenn die Schadsoftware einfach die Kamera anschaltet, weil diese bereits in Microsoft Teams freigegeben wurde.

Neben Microsoft-Apps sind im Grunde alle Anwendungen von der Sicherheitslücke betroffen, die diese Variable nutzen. Microsoft hat bereits reagiert und in Teams und OneNote die Zeile entfernt. In Exel, Outlook, Word und Powerpoint ist die Zeile aber weiterhin zu finden. Laut Microsoft handele es sich um ein „niedriges Risiko“, da sich die Methode auf das Laden von Plug-ins von Drittanbietern stützt.

Die Sicherheitsexpert:innen geben dabei zu bedenken, dass Microsoft-Apps unter MacOS lediglich „Office-add-ins“ nutzen, die webbasiert sind. Sie brauchen diese Variable also gar nicht. Zudem halten sie es für ratsam, diese Variable komplett aus MacOS zu verbannen und Nutzer:innen auch erneut um Erlaubnis zu fragen, wenn Programme besagte Plug-ins laden wollen.