Microsoft gaat niks doen aan apps die Apple's macOS kwetsbaar voor misbruik maken
Ongemerkt video en geluid opnemen, gevoelige data inzien, bijhouden wat de gebruiker intypt: dat kan allemaal op macOS, uitgerekend door kwetsbaarheden in apps van Microsoft, zoals Outlook en Teams. Microsoft is niet van plan er iets aan te doen.
Cyberveiligheidsbedrijf Cisco Talos wijst op de kwetsbaarheden. Die zitten in alle populaire macOS-versies van Microsoft-apps: Outlook, Teams (web en app), Word, PowerPoint, Excel en OneNote. De kwetsbaarheid zit in het inladen van ongesigneerde stukjes software, die nodig zijn om plugins voor de apps te laten draaien. Door zulke plugins kunnen de apps beter met elkaar en andere apps samenwerken. Microsoft vindt dat het risico laag is, en doet daarom niks aan de kwetsbaarheden.
Het potentiële misbruik leunt op het permissie-systeem van macOS. Gebruikers kennen dat wel: elke app vraagt toestemming om gevoelige dingen te gebruiken. Elke app die de camera wil gebruiken, moet daar nadrukkelijk toestemming voor vragen. Hetzelfde geldt voor de microfoon, de locatie, contacten, etcetera. Het idee is dat gebruikers dan altijd zelf beslissen welke toegang welke apps krijgen.
'Onnodige risico's'
Maar: eenmaal gegeven, blijft de toegang aanstaan – tenzij gebruikers dat weer handmatig uitzetten in de privacy-instellingen van hun Mac. En daar ligt het gevaar, vindt Cisco Talos. Want al die Microsoft-apps vragen veel van die toestemmingen, en zetten vervolgens een ongecontroleerd zijdeurtje open via hun plugin-ondersteuning. Een app die ter goeder trouw toegang heeft tot al die gevoelige data en permissies, kan door een cybercrimineel worden geïnjecteerd met eigen code.
Hoewel macOS ook ingebouwde manieren heeft om zulke aanvallen tegen te gaan, "kan malware altijd nog manieren vinden om bepaalde apps onder specifieke condities te misbruiken", aldus Cisco-beveiligingsonderzoeker Francesco Benvenuto.
De onderzoeker vindt dat Microsoft de kwetsbaarheden wel zou moeten aanpakken. "Microsoft omzeilt de waarborgen die worden geboden, waardoor gebruikers mogelijk worden blootgesteld aan onnodige risico's", aldus Benvenuto.
Meer macOS en mis niets met onze Bright-app.