關閉選單
  1. Home
  2. NEWS最新消息
  3. 資安威脅情資
  4. 資安漏洞
顯示分類
2025.09.05
資安威脅情資/資安漏洞
macOS 漏洞允許 Keychain 和 iOS 應用程式無需密碼解密
報導摘要

根據在德國柏林Nullcon資安會議上所發表的報告,資安研究員Koh M. Nakagawa揭露了macOS 15 Sequoia作業系統中一個嚴重漏洞(CVE-2025-24204)。該漏洞源於Apple錯誤地賦予名為 /usr/bin/gcore 的系統除錯工具過高的權限,使其能夠讀取幾乎任何進程的記憶體。這項錯誤打破了macOS的關鍵安全邊界,即使在「系統完整性保護(SIP)」啟用的情況下,攻擊者也能利用此工具來竊取敏感資料,包括鑰匙圈(Keychain)中的密碼、繞過「透明化權限控制(TCC)」並取得受保護的個人數據,甚至在Apple Silicon Mac上解密被加密的iOS應用程式二進位檔案。Apple已在macOS 15.3版本中移除了這項錯誤的權限配置,但此事件突顯了即使是受信任的系統工具,也可能因權限設定不當而成為嚴重的資安威脅。


漏洞技術解析:gcore的過度權限

「gcore」是macOS系統中一個合法的除錯工具,其主要功能是為運行中的進程生成核心轉儲(core dump),通常用於程式開發人員分析應用程式崩潰的原因。核心轉儲包含了進程在特定時間點的記憶體快照。理論上,為了安全,gcore在訪問受保護進程的記憶體時應受到限制。

然而,在macOS 15.0 (Sequoia) 版本中,蘋果意外地給予gcore工具一個名為 com.apple.system-task-ports.read 的權限。這項權限賦予了gcore讀取任何正在運行進程記憶體的能力,完全繞開了「系統完整性保護(SIP)」的限制。SIP是蘋果在OS X El Capitan中引入的一項重要安全機制,旨在防止惡意程式修改系統層級的檔案和進程,以保護作業系統的核心安全。此漏洞的嚴重性在於,它允許攻擊者利用一個合法的、且受到SIP信任的工具來達到其惡意目的。


漏洞利用手法與潛在威脅

研究員Koh M. Nakagawa示範了如何利用此漏洞發動攻擊,其攻擊流程與潛在威脅包括:

  1. 竊取鑰匙圈主金鑰:攻擊者可以利用gcore對負責管理鑰匙圈的系統進程 securityd 進行記憶體轉儲。securityd 進程在記憶體中會短暫地處理用戶鑰匙圈的加密主金鑰。一旦攻擊者取得該進程的記憶體轉儲檔案,便可從中搜尋並提取出主金鑰。一旦擁有主金鑰,攻擊者便能無需用戶密碼,完全解密儲存在鑰匙圈中的所有密碼、加密憑證、安全筆記等敏感資訊。

  2. 繞過透明化權限控制(TCC):TCC是macOS另一項重要的隱私保護機制,用於控制應用程式對麥克風、相機、聯絡人、照片等敏感資料的存取。攻擊者同樣可以對處理TCC權限的相關進程進行記憶體轉儲,從而繞過TCC的保護,取得受保護的個人資料。

  3. 解密iOS應用程式:在配備Apple Silicon晶片的Mac電腦上,iOS應用程式的二進位檔案在硬碟上是以加密狀態儲存的。通常,要解密這些檔案需要對iOS設備進行「越獄」。然而,研究員發現,攻擊者可以利用gcore對正在運行的iOS應用程式進行記憶體轉儲,進而還原出未加密的二進位檔案。這使得駭客能夠進行逆向工程,分析iOS應用程式的內部運作,尋找其中的漏洞或惡意行為,甚至在沒有越獄的情況下對其進行修改。


影響範圍與修補建議

此漏洞的發現者最初是在測試微軟的ProcDump工具時意外發現。該漏洞影響運行macOS 15.0至15.2版本的系統。

蘋果在macOS 15.3的更新中,悄無聲息地移除了gcore的這項過高權限,從而修復了此漏洞。雖然蘋果並未在公開的安全通告中高調說明此項修復,但其修復動作證實了漏洞的確存在。


對用戶與企業的防護建議

鑑於此漏洞的嚴重性,台灣的macOS用戶和企業應立即採取以下行動:

  1. 儘速更新至macOS 15.3或更高版本:這是最直接且有效的防禦措施。用戶應立即檢查系統更新,確保操作系統處於最新版本。

  2. 部署端點安全解決方案:企業應部署端點偵測與回應(EDR)工具,以監控系統上的可疑行為,例如gcore工具的異常使用。

  3. 教育員工警覺性:雖然此漏洞的利用需要攻擊者先取得對受害電腦的存取權,但這通常是透過釣魚郵件、惡意網站或惡意軟體感染來實現。因此,持續的資安教育,教導員工辨識並避免可疑的網路內容,是防禦此類攻擊的關鍵第一步。

  4. 定期備份:即使是最先進的防禦措施也無法百分之百保證安全。定期備份重要資料,可以確保在發生資安事件時,能將損失降至最低。


結論

CVE-2025-24204漏洞的揭露,為我們敲響了警鐘,提醒我們即使是作業系統內建的合法工具,也可能成為駭客的攻擊武器。它再次證明了「零信任」安全模型的必要性,即不應假設任何程式或使用者是可信的。對於台灣的Mac用戶與企業而言,這份報告不僅提供了技術細節與防禦建議,更重要的是,它強調了持續更新、主動監控和提升使用者資安意識的重要性,這些都是在這個日益複雜的網路威脅環境中不可或缺的防禦策略。


資料來源:https://www.helpnetsecurity.com/2025/09/04/macos-gcore-vulnerability-cve-2025-24204/
資安研究員揭露macOS 15 Sequoia系統存在一項高危漏洞,編號為CVE-2025-24204。攻擊者可利用系統工具「gcore」的過高權限,繞過「系統完整性保護(SIP)」機制,直接讀取任意進程的記憶體內容,進而竊取用戶鑰匙圈的加密主金鑰,並解密其中儲存的密碼、憑證等敏感資料。