macOS: TCC ranjivost (CVE-2025-43530)
U macOS okviru za transparentnost, saglasnost i kontrolu (TCC) nedavno je otkrivena ranjivost koja, prema istraživanju sigurnosnog istraživača Mickey Jin, predstavlja ozbiljan rizik za poslovna okruženja u kojima se koriste dijeljeni uređaji. Ona omogućava da zlonamjerni akter zaobiđe kontrole pristupa i dođe do osjetljivih datoteka bez pokretanja korisničkog upita ili dijaloga za dozvole.
macOS: TCC ranjivost (CVE-2025-43530); Source: Bing Image Creator
TCC RANJIVOST (CVE-2025-43530)
Ranjivost CVE-2025-43530 ukazuje na slabost u macOS okviru za transparentnost, saglasnost i kontrolu (eng. transparency, consent, and control – TCC), čija je uloga da ograniči pristup aplikacija osjetljivim datotekama i funkcijama i da o tome obavijesti korisnika. Ona omogućava zaobilaženje tih ograničenja, pa pristup podacima može proći bez upozorenja ili dijaloga za dozvole.
Problem se nalazi u sistemskoj MIG usluzi koja upravlja operacijama čitača ekrana. Ova usluga posjeduje ovlaštenja u okviru za transparentnost, saglasnost i kontrolu (TCC) za pristup Apple događajima, mikrofonu i zaštićenim dokumentima. Iskorištavanje se oslanja na privatno okruženje poziva unutar ScreenReader.framework, dijela funkcije pristupačnosti VoiceOver.
ScreenReader.framework omogućava korisnicima sa oštećenim vidom da upravljaju uređajem glasom ili gestovima i blisko sarađuje sa servisom com.apple.scrod. Kroz tu vezu, zlonamjerni akter može doći do osjetljivih podataka, uključujući datoteke i unos mikrofona, bez pokretanja upozorenja ili obavještenja.
Napad je moguć lokalno i ne zahtijeva administratorske privilegije. To znači da pristup osjetljivim informacijama može biti ostvaren na uređaju gdje više korisnika dijeli isti sistem, bez vidljivih tragova u vidu dijaloga za dozvole.
Ovaj slučaj pokazuje da ranjivosti mogu nastati u komponentama koje se oslanjaju na proširena ovlaštenja radi pristupačnosti. Uloga servisa com.apple.scrod i ScreenReader.framework u radu VoiceOver funkcionalnosti, zajedno sa ovlaštenjima okvira za transparentnost, saglasnost i kontrolu (TCC), čini ovu grešku posebno značajnom jer omogućava tih pristup podacima mimo predviđenih ograničenja.
Funkcionisanje
Da bi se razumio ovaj napad, potrebno je sagledati osnovne mehanizme koji omogućavaju izbjegavanje okvira za transparentnost, saglasnost i kontrolu (TCC). U svojoj suštini, okvir za transparentnost, saglasnost i kontrolu (TCC) se oslanja na logiku provjere koja obezbjeđuje da macOS izvršava samo pouzdane sistemske procese. Ova provjera ispituje kôd potpisan od strane kompanije Apple i utvrđuje da li je u skladu sa unaprijed definisanim bezbjednosnim standardima. Međutim, ranjivost otkriva ozbiljnu grešku u tom procesu.
Logika provjere pogrešno vjeruje svakom kôdu potpisanom od strane kompanije Apple, ne razlikujući legitimne sistemske procese od ugroženih. To znači da zlonamjerni akter može ubrizgati zlonamjerni kôd u binarne datoteke koje je potpisao Apple, a da bezbjednosni mehanizmi okvira za transparentnost, saglasnost i kontrolu (TCC) to ne otkriju niti blokiraju. Posebno zabrinjava činjenica da iskorištavanje ne zahtijeva administratorske privilegije, pa je dostupno širokom krugu potencijalnih zlonamjernih aktera.
Druga metoda za zaobilaženje provjera oslanja se na napad vrijeme provjere – vrijeme korištenja (eng. time-of-check-time-of-use – TOCTOU). Ova tehnika koristi vremenski razmak između trenutka kada je kôd provjeren i trenutka kada je izvršen, omogućavajući zlonamjernom akteru da manipuliše aplikacijama u tom intervalu.
U scenariju vrijeme provjere – vrijeme korištenja (TOCTOU), zlonamjerni akter može izmijeniti ili zamijeniti legitimne binarne datoteke ugroženim verzijama nakon što ih provjere bezbjednosni mehanizmi okvira za transparentnost, saglasnost i kontrolu (TCC), ali prije njihovog izvršenja. Na taj način se provjere zaobilaze, a proizvoljni kôd se pokreće bez otkrivanja ili blokiranja od strane operativnog sistema.
Kombinovanjem ovih metoda stvara se direktan put za potpuno izbjegavanje okvira za transparentnost, saglasnost i kontrolu (TCC). Zlonamjerni akteri mogu istovremeno ubrizgati kôd u sistemske datoteke potpisane od strane kompanije Apple i koristiti napade vrijeme provjere – vrijeme korištenja (TOCTOU) da bi zaobišli provjere.
Jednom kada se ranjivost iskoristi, zlonamjerni akteri mogu čitati osjetljive dokumente, pristupati mikrofonu, komunicirati sa Finder menadžerom datoteka i aplikacija i izvršavati proizvoljni AppleScript kôd bez obavještenja ili saglasnosti korisnika. Time zaštita koju pruža okvir za transparentnost, saglasnost i kontrolu (TCC) postaje beskorisna, a pogođeni sistemi ostaju izloženi širokom spektru bezbjednosnih prijetnji.
UTICAJ
Ranjivost u okviru za transparentnost, saglasnost i kontrolu (TCC) mijenja osnovu povjerenja u macOS okruženju: osjetljive datoteke, mikrofon i Apple događaji mogu se otvoriti bez ikakvog upozorenja ili saglasnosti korisnika. U poslovnim sistemima sa dijeljenim uređajima to znači gubitak ključne kontrole nad pristupom podacima, pa se rizik širi na sve korisnike koji koriste isti računar.
Najveći problem je nevidljivost napada. Izostanak dijaloga za dozvole uklanja signal koji bi korisnici i administratori koristili da prepoznaju neuobičajeno ponašanje. Time se otežava otkrivanje zloupotrebe, produžava vrijeme reagovanja i povećava vjerovatnoća da povjerljivi razgovori ili dokumenti budu kompromitovani bez traga.
Posljedice se šire i na poslovnu usklađenost. Propisi koji zahtijevaju dokaziv pristanak i transparentnost postaju teško dostižni kada sistem omogućava tih prolaz. Organizacije u regulisanim sektorima suočavaju se sa rizikom kazni i vanrednih revizija, jer ne mogu pouzdano dokazati da je pristup podacima bio kontrolisan.
Operativno, ranjivost otvara prostor za šire zloupotrebe: tiha interakcija sa Finder menadžerom datoteka i aplikacija i pokretanje AppleScript kôda olakšavaju prikupljanje i izvoz datoteka, kao i automatizaciju daljih koraka bez vidljivih znakova. To povećava mogućnost bočnog kretanja kroz mrežu i stvaranja uporišta koje standardni alati teško otkrivaju.
Na strateškom nivou, ovo je udar na model povjerenja u macOS. Ako okvir za transparentnost, saglasnost i kontrolu (TCC) koji štiti privatnost može biti zaobiđen bez administratorskih prava i bez upozorenja, organizacije moraju pretpostaviti da je tiho curenje podataka realna prijetnja. Fokus se zato pomjera sa oslanjanja na sistemske upite ka nezavisnim mehanizmima nadzora i strožijem razdvajanju privilegija.
ODGOVOR KOMPANIJE APPLE
Kompanija Apple je u najnovijem izdanju sistema (macOS 26.2) uvela novi način provjere zasnovan na ovlašćenjima, kojim okvir za transparentnost, saglasnost i kontrolu (TCC) potvrđuje i dozvoljava pokretanje samo onih procesa koji imaju propisana prava. Za pouzdano pokretanje i provjeru sada je neophodno ovlašćenje “com.apple.private.accessibility.scrod”, čime se prolazak kroz bezbjednosne provjere ograničava na kod koji je izričito odobren. Uz to, provjera klijenta se vrši direktno preko njegovog kontrolnog tokena revizije, koristeći SecStaticCodeCreateWithPath, umjesto oslanjanja na provjere zasnovane na datotekama.
Ovakav pristup donosi čvršću zaštitu, jer potvrđuje proces na osnovu identiteta klijenta, a ne samo stanja datoteka, pa se zatvara prostor za napade vrijeme provjere – vrijeme korištenja (TOCTOU). Time se onemogućava zaobilaženje provjera okvira za transparentnost, saglasnost i kontrolu (TCC) kroz razlike između trenutka provjere i trenutka izvršavanja, što zlonamjerni akteri mogu da koriste za ubacivanje neželjenog kôda. Novi sistem dodaje sloj kontrole koji otežava zloupotrebu Apple potpisanih sistemskih binarnih datoteka i manipulaciju aplikacijama bez znanja korisnika.
Korisnici koji koriste macOS 26.2 i novije verzije imaju viši nivo zaštite pri pristupu osjetljivim podacima i pokretanju kôda, jer okvir za transparentnost, saglasnost i kontrolu (TCC) sada dozvoljava izuzetke samo procesima sa jasno definisanim ovlašćenjima i potvrđenim identitetom. Fokus na provjeri preko kontrolnog tokena revizije i strogo ograničena ovlaštenja smanjuju mogućnost zloupotrebe i jačaju povjerenje u sistemske bezbjednosne mehanizme. Na taj način, kompanija Apple je suštinski zatvorila ranjivost i podigla prag za pokušaje zaobilaženja provjera.
ZAKLJUČAK
Ranjivost u okviru za transparentnost, saglasnost i kontrolu (TCC) pokazala je da se povjerenje u sistem može narušiti iznutra – kroz komponente sa proširenim ovlaštenjima koje rade bez vidljivih tragova. Kada pristup osjetljivim podacima, mikrofonu i Apple događajima može proći bez upita, oslanjanje na sistemske dijaloge prestaje biti dovoljno. U okruženjima sa dijeljenim uređajima tiha zloupotreba postaje realna prijetnja, a vrijeme otkrivanja se produžava.
Suština problema nije samo tehnička greška, već lom u modelu povjerenja: ako procesi sa posebnim ovlaštenjima mogu zaobići provjere, organizacije moraju pretpostaviti da je nadzor izvan sistema nužan. Fokus se zato pomjera sa oslanjanja na ugrađene upite ka nezavisnim mehanizmima praćenja, strožijem razdvajanju privilegija i jasnim granicama između korisničkih sesija na istom uređaju. Bez takvih mjera, tiho prikupljanje i izvoz podataka ostaje teško uočljivo.
Odgovor kompanije Apple u macOS 26.2 vraća kontrolu na identitet procesa i jasno definisana prava. Provjera zasnovana na ovlašćenjima i kontrolnom tokenu revizije zatvara prostor za napade koji koriste razliku između provjere i izvršavanja, kao i oslanjanje na potpisane binarne datoteke. Time se podiže prag za zloupotrebu i suštinski smanjuje mogućnost prolaska bez upozorenja.
Ipak, tehnička ispravka nije kraj priče. Organizacije treba da ovu epizodu tretiraju kao signal za trajnu promjenu prakse: uvesti dodatne slojeve nadzora, ograničiti pristup osjetljivim funkcijama na dijeljenim uređajima i uspostaviti jasne evidencije koje ne zavise od sistemskih dijaloga. Povjerenje u platformu gradi se kroz kombinaciju sistemskih poboljšanja i operativne discipline.
Ranjivost je zatvorena, ali pouka ostaje. Tihi prolaz kroz okvir za transparentnost, saglasnost i kontrolu (TCC) podsjetnik je da sigurnost nije jednokratna mjera, već stalna obaveza – tehnička, organizaciona i proceduralna.
