Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Мы делаем устройства Apple готовыми к работе и безопасными для предприятий — это все, что мы делаем. Наш уникальный комплексный подход к управлению и безопасности сочетает в себе современные решения для обеспечения безопасности Apple, полностью автоматизированные системы усиления и соответствия, EDR нового поколения, Zero Trust на базе искусственного интеллекта и эксклюзивное управление привилегиями с самым мощным и современным Apple MDM на рынке. Результат — полностью автоматизированная унифицированная платформа Apple, которой доверяют более 45 000 организаций и которая позволяет без особых усилий и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите расширенную пробную версию сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
В течение многих лет разработчики и исследователи безопасности macOS призывали Apple добавить события TCC в фреймворк Endpoint Security (ES). Это позволило бы им напрямую отслеживать TCC-запрос до конкретного приложения (или вредоносного ПО), которое его вызвало. Это позволило бы сторонним инструментам безопасности предлагать защиту в реальном времени на основе запросов разрешений.
Хорошие новости? Apple наконец-то реализовала эту возможность в macOS 15.4.
Плохие новости? На данный момент она неровная.
В экосистеме устройств Apple система TCC (Transparency, Consent, and Control) функционирует как очень важная подсистема, которая предлагает пользователям разрешить, ограничить или отклонить запросы отдельных приложений на доступ к конфиденциальным данным и встроенному оборудованию, такому как микрофон и камера. Основная цель TCC — предоставить пользователям прозрачность в отношении того, как приложения получают доступ к их данным и используют их.
В идеале это защищает пользователей. Но авторы вредоносных программ знают, что люди импульсивно нажимают кнопку «Разрешить», поэтому они часто полагаются на эту тактику, чтобы обманом заставить пользователей одобрить доступ, который они не должны давать.
До этого момента обнаружение вредоносного события TCC было довольно простым. Средства безопасности не могли напрямую наблюдать его в реальном времени. Вместо этого им приходилось перебирать журналы, чтобы определить, произошло ли вредоносное событие, что часто происходит уже после того, как ущерб нанесен.
Как впервые заметил Патрик Уордл из Objective-See, создатель нескольких популярных инструментов безопасности для Mac, включая LuLu, в последней бета-версии macOS 15.4, Apple незаметно добавила события TCC в свой фреймворк Endpoint Security. Смотрите далее:
Теперь добавленный идентификатор ES_EVENT_TYPE_NOTIFY_TCC_MODIFY уведомляет систему безопасности конечной точки о том, что было запущено приглашение TCC. Это наконец-то позволит сторонним средствам безопасности отслеживать запросы на разрешение в режиме реального времени и связывать их с приложением, которое их выполнило.
«Поскольку большинство вредоносных программ для macOS обходят TCC через явное разрешение пользователя, было бы невероятно полезно, чтобы любой инструмент безопасности мог обнаружить это — и, возможно, отменить рискованное решение пользователя. До сих пор лучшим (единственным?) вариантом было проглатывание сообщений журнала, генерируемых подсистемой TCC», — пишет Уордл в своем блоге.
Аналогично, в прошлом Apple добавила события Gatekeeper в ES-фреймворк в macOS 13 Ventura. Это дало средствам защиты конечных точек доступ к процессу принятия решений Gatekeeper о том, разрешить или заблокировать открытие приложения на основе набора политик. До этого процесс принятия решений Gatekeeper был недоступен для сторонних разработчиков, как и TCC до выхода бета-версии macOS 15.4.
То, что Apple наконец-то добавила событие TCC в Endpoint Security, — это здорово, но, как отмечает Уордл в своем обзоре, оно «довольно тонкое». Оно может не улавливать все полезные детали, иногда вести себя непоследовательно, а в текущем состоянии его недостаточно для получения полезной информации. Однако важно отметить, что эта функция была добавлена в бета-версию macOS 15.4, которая будет широко представлена в следующем месяце. Я ожидаю, что к тому времени Apple многое из этого исправит.
Настоятельно рекомендую ознакомиться с его статьей в блоге о Objective-See, чтобы узнать больше о технических аспектах.
Fоллоу Арин: Twitter/X, LinkedIn, Threads
