マイクロソフトは、この脆弱性がすでに悪用されており、攻撃者が「ユーザーの保護されたデータに不正アクセスする可能性が高い」と警告している。そのデータには「閲覧したウェブページ、デバイスのカメラ、マイク、位置情報」が含まれ、ユーザーが気づかないうちにこれらが狙われる。
この新しいハッキング手法「HM Surf(HMサーフ)」は、デバイスの集中管理を行うモバイルデバイス管理(MDM)を利用しているmacOSユーザーに影響を及ぼす。このため、個人ユーザーよりも企業ユーザーにとってのリスクが大きい。
この手法は、アップル純正のブラウザ、Safari内でデバイスのTCC(Transparency, Consent, and Control、透明性、同意、制御)保護を強制的に回避する。この結果、Safariは本来アクセスできないはずのデータにアクセスし、そのデータを攻撃者に渡すことが可能になる。マイクロソフトは「私たちの調査結果をアップルと共有した」と述べ、アップルは2024年9月16日にリリースしたmacOS Sequoiaのセキュリティアップデートの一部として、「CVE-2024-44133」として修正を公開した。すべてのmacOSユーザーは、自身のマシンにこのアップデートが適用されていることを確認すべきだ。
さらに、マイクロソフトは「現時点ではSafariのみがTCCによる新たな保護を利用しており、現在、他の主要なブラウザベンダーと協力してローカル設定ファイルの強化によるメリットを調査している」と述べている。セキュリティ研究者たちは、関連するSafariの設定ファイルがユーザーのホームディレクトリに保存されており、それらを変更することでTCC保護を解除できることを発見した。Safariもそ仕組みを使ってこれらのサービスへのアクセス許可を要求し、自身の許可リストを維持しているが、この方法でTCCをバイパスすると、すべてが攻撃に対して無防備になる。
「macOSユーザーには、できるだけ早くこれらのセキュリティアップデートを適用することを推奨する」とマイクロソフトは述べている。TCCは、マシン上で動作するアプリからプライベートデータを保護するために設計されており、「位置情報サービス、カメラ、マイク、ダウンロードファイルなどのサービスが、ユーザーの同意なしに利用されないようにする」ものだ。アプリがアクセスを必要とする場合、特定の許可を求めるポップアップが表示されるはずだ。
