據 CNMO 援引海外媒體消息,微軟為 macOS 系統設計的多款軟件被曝光存在安全隱患,這些漏洞可能讓不法分子有機可乘,非法操控用戶的鏡頭和麥克風。涉及的應用包括 Microsoft Office 套件、Outlook、Teams 以及 OneNote 等。
網絡安全研究機構 Cisco Talos 詳細揭露了這些漏洞的內情,指出黑客能通過向 Outlook、Teams、PowerPoint、Excel、Word 和 OneNote 等應用中植入特製的惡意庫,繞過 macOS 的安全架構,對用戶裝置實現未經授權的控制。
macOS 的透明度、同意和控制(TCC)框架要求,任何軟件在訪問用戶鏡頭和麥克風前,必須獲得用戶的明確許可。然而,存在一種稱為庫注入的手段,允許惡意程序盜用已授權給其他應用的權限。
對此 Cisco Talos 提到,安裝微軟軟件的 macOS 用戶可能成為黑客攻擊的目標。這些漏洞讓黑客能通過將庫注入相關應用,實現對用戶音頻的非法錄製。值得注意的是,Microsoft Excel 是唯一沒有麥克風訪問權限的應用,而像 Teams 這樣的軟件還可能被用於非法影像監控。
Cisco Talos 已將這些安全缺陷通報給微軟,微軟隨後對 Teams 和 OneNote 兩款應用進行了更新,以修復問題。使用最新版本的用戶應已安全,但微軟的 Outlook 和 Office 套件依舊存在風險。
網絡安全專家指出,微軟應避免禁用庫驗證,因為這會增加用戶面臨的安全威脅,破壞了 Apple 在操作系統中設定的旨在保護用戶私隱的 TCC 框架和權限模型。