图片来源@视觉中国

关注钛媒体每日、每月整理发布的行业坏消息榜，一榜略尽当日最具影响的坏消息。

macOS为了避免电脑中的秘密信息遭到黑客窃取，当一款应用程序试图访问敏感数据或敏感功能时，系统就会让用户自己选择“允许”还是“拒绝”，这相当于安排了一个检查点，把恶意软件拒之门外，让无辜的程序得到想要的信息。

但美国国家安全局（NSA）前雇员、著名Mac黑客帕特里克·瓦尔德在上周日举行的DefCon黑客大会上，计划展示一组针对macOS系统的自动化攻击，可以通过所谓的“合成点击”（synthetic clicks）帮助恶意软件绕过系统封锁。

“用户界面是唯一一个故障点。” 目前担任Digita Security安全研究员的瓦尔德说，“如果你有办法合成与这些警告信息的互动，那就掌握了一种强大而通用的方法，可以绕过所有的安全机制。”macOS本身包含一项功能，可以让AppleScript等程序生成“合成点击”，也就是由程序而非人类手指生成的鼠标点击动作。这功能设置是为了能帮助残疾人使用的工具实现各种功能。并且，为了避免恶意软件滥用这些程序化的点击，苹果在一些敏感情况下禁止使用该功能点击“允许”按钮。

但瓦尔德却发现，该功能使他的恶意软件测试代码可以像人类一样轻而易举通过点击获取权限。由此，黑客可直接绕开系统安全警告，访问敏感数据或敏感功能。在测试中，macOS未能阻止该功能提取用户联系人、获取日程表、阅读经纬度信息。他的恶意软件测试代码可以像人类一样轻而易举通过点击获取权限。

相关报道: