साइबर सुरक्षा समूह ने मैकओएस के लिए माइक्रोसॉफ्ट द्वारा विकसित किए गए ऐप में कई कमजोरियों की खोज की है, जिससे हैकर्स उपयोगकर्ताओं को निशाना बना सकते हैं। सुरक्षा खामियां माइक्रोसॉफ्ट ऑफिस, आउटलुक, टीम्स, वननोट और रेडमंड फर्म के अन्य ऐप जैसे ऐप को प्रभावित करती हैं, और हैकर्स अपने डेस्कटॉप ऑपरेटिंग सिस्टम पर ऐप्पल के अनुमति ढांचे का दुरुपयोग करके उपयोगकर्ता के कैमरे और माइक्रोफ़ोन तक पहुंचने में सक्षम थे। जबकि माइक्रोसॉफ्ट ने मैकओएस पर अपने दो अनुप्रयोगों के लिए फ़िक्सेस जारी किए हैं, इसके अन्य ऐप अभी भी हमलावरों के लिए असुरक्षित हैं।
माइक्रोसॉफ्ट ऐप की कमजोरियों के कारण हैकर्स बिना अनुमति के कैमरा, माइक्रोफ़ोन तक पहुंच सकते हैं
साइबरसिक्यूरिटी ग्रुप सिस्को टैलोस ने एक ब्लॉग पोस्ट में मैकओएस के लिए माइक्रोसॉफ्ट के ऐप्स में देखी गई आठ कमजोरियों का विवरण दिया। इन खामियों की वजह से हैकर्स छह माइक्रोसॉफ्ट ऐप्स – आउटलुक, टीम्स, पावरपॉइंट, एक्सेल, वर्ड, वननोट – में विशेष रूप से तैयार की गई दुर्भावनापूर्ण लाइब्रेरीज़ को इंजेक्ट कर सकते थे और मैकओएस पर एप्पल के अनुमति मॉडल को बायपास कर सकते थे।
उपयोगकर्ता के माइक्रोफ़ोन और कैमरे तक पहुँच प्राप्त करने के लिए, दुर्भावनापूर्ण सॉफ़्टवेयर को macOS पर Apple के पारदर्शिता, सहमति और नियंत्रण (TCC) ढांचे के अनुसार, प्रासंगिक अनुमतियों के लिए स्पष्ट उपयोगकर्ता सहमति प्रदान करने की आवश्यकता होगी। हालाँकि, कुछ दुर्भावनापूर्ण प्रोग्राम अन्य ऐप्स को दी गई अनुमतियों तक पहुँच प्राप्त करने के लिए लाइब्रेरी इंजेक्शन (या macOS पर dylib इंजेक्शन) नामक प्रक्रिया का उपयोग कर सकते हैं।
परिणामस्वरूप, सिस्को टैलोस के अनुसार, मैकओएस उपयोगकर्ता जिनके कंप्यूटर पर माइक्रोसॉफ्ट के ऐप इंस्टॉल थे, वे हैकिंग के प्रति संवेदनशील हो सकते हैं। इन खामियों के कारण हैकर्स को उपरोक्त ऐप्स में लाइब्रेरी इंजेक्ट करके ऑडियो रिकॉर्ड करने की अनुमति मिल गई। सूची में माइक्रोसॉफ्ट एक्सेल एकमात्र ऐसा ऐप है जिसकी माइक्रोफ़ोन तक पहुँच नहीं है, जबकि माइक्रोसॉफ्ट टीम्स जैसे ऐप भी डिवाइस के कैमरे तक पहुँच सकते हैं।
माइक्रोसॉफ्ट ने दो प्रभावित ऐप्स को पैच किया, अन्य ऐप्स अभी भी असुरक्षित
साइबर सुरक्षा समूह का कहना है कि उसने सुरक्षा कमज़ोरियों की सूचना Microsoft को दी है, और तब से फ़र्म ने दो प्रभावित ऐप्स को खामियों के लिए फ़िक्स के साथ अपडेट कर दिया है। Microsoft Teams और OneNote के नवीनतम संस्करण चलाने वाले उपयोगकर्ताओं पर इसका कोई असर नहीं होना चाहिए, लेकिन कंपनी के Outlook और Office ऐप्स वर्तमान में सुरक्षा दोष से प्रभावित हैं।
सिस्को टैलोस के अनुसार, माइक्रोसॉफ्ट को लाइब्रेरी सत्यापन को अक्षम नहीं करना चाहिए था, क्योंकि यह उपयोगकर्ताओं को अनावश्यक जोखिमों के प्रति उजागर करता है, क्योंकि यह एप्पल द्वारा ओएस पर लगाए गए कठोर रनटाइम सुरक्षा उपायों को दरकिनार कर देता है, जिसे टीसीसी और इसके अनुमति मॉडल के माध्यम से उपयोगकर्ताओं की सुरक्षा के लिए डिज़ाइन किया गया है।
Apple, macOS पर सुरक्षा बढ़ा सकता है, जब ऐप में थर्ड-पार्टी प्लगइन लोड किया जा रहा हो, तो उपयोगकर्ताओं को संकेत देकर, क्योंकि इन ऐप्स को पहले से ही अनुमतियाँ दी जा सकती हैं। यह उपयोगकर्ताओं को चेतावनी दे सकता है कि ये बाहरी प्लगइन मूल ऐप को दी गई समान अनुमतियों तक पहुँच सकते हैं।