Kerentanan keamanan penting di macOS telah ditemukan yang memungkinkan penyerang untuk sepenuhnya melewati perlindungan Transparansi, Persetujuan, dan Kontrol (TCC).
Mekanisme pertahanan utama Apple untuk mencegah akses tidak sah ke data sensitif pengguna adalah penggunaan mikrofon, kamera, dan dokumen.
Kerentanannya, dilacak sebagai CVE-2025-43530, mengeksploitasi kelemahan dalam kerangka pembaca layar VoiceOver melalui com. Apel. layanan scrod.
VoiceOver, alat aksesibilitas bawaan Apple untuk pengguna tunanetra, dijalankan dengan izin sistem khusus yang memberikannya akses luas ke data pengguna.
Penyerang dapat mengeksploitasi layanan ini untuk menjalankan perintah AppleScript sewenang-wenang dan mengirimkan AppleEvents ke aplikasi apa pun, termasuk Finder, sehingga menghindari kontrol keamanan TCC.
Cara Kerja Serangan
Kerentanan ada dalam dua metode berbeda. Pertama, penyerang dapat memasukkan kode berbahaya ke dalam biner sistem yang ditandatangani Apple, sebuah proses yang tidak memerlukan hak administratif.
Logika verifikasi salah mempercayai kode apa pun yang ditandatangani oleh Apple, sehingga gagal membedakan antara proses sistem yang sah dan proses yang disusupi.
Kedua, serangan Time-of-Check-Time-of-Use (TOCTOU) memungkinkan penyerang melewati pemeriksaan validasi dengan memanipulasi aplikasi antara verifikasi keamanan dan eksekusi.
Jika digabungkan, kelemahan-kelemahan ini menciptakan jalan yang mudah untuk menyelesaikan penghindaran TCC. Setelah dieksploitasi, penyerang dapat membaca dokumen sensitif, mengakses mikrofon, berinteraksi dengan Finder, dan mengeksekusi kode AppleScript tanpa pemberitahuan atau persetujuan pengguna.
Hal ini secara efektif menjadikan perlindungan macOS TCC tidak berguna untuk sistem yang terpengaruh. Apple mengatasi kerentanan ini di macOS 26.2 dengan menerapkan sistem validasi berbasis hak yang lebih kuat.
Patch sekarang memerlukan proses untuk memiliki hak spesifik “com.apple.private.accessibility.scrod” dan memvalidasi hak ini secara langsung melalui token audit klien daripada menggunakan verifikasi berbasis file.
Pendekatan ini menghilangkan kerentanan injeksi dan jendela TOCTOU. Semua pengguna macOS harus segera memperbarui ke macOS 26.2 atau lebih baru untuk melindungi dari kerentanan bypass TCC yang penting ini.
Menurut laporan jhftss yang diterbitkan di GitHub, bukti konsep yang berfungsi tersedia untuk umum, menunjukkan kemungkinan adanya eksploitasi aktif.
