Sikkerhet & Software

Programmer på din Mac kan ta opptak av skjermen din uten at du vet det

Programbilde: Felix Krause. Kameraillustrasjon: Molly Bramlet (CCBY)

Et potensielt alvorlig sikkerhetshull viser at Mac-programmer kan ta bilder og video av skjermen din uten din tillatelse.

Utvikleren Felix Krause beskriver sikkerhetshullet i en bloggpost. For å demonstrere problemet har han laget et lite program som automatisk tar bilder av skjermen i bakgrunnen, og henter ut teksten som står skrevet på skjermen.

Krause understreker at programmet ikke trenger å ligge i forgrunnen for at dette skal fungere. Det betyr at et program som er installert og kjører på maskinen din, i teorien kan fange opp store mengder sensitiv informasjon.

Dette åpner for at ondsinnede programmer kan overvåke hvilke nettsider du bruker, hva du skriver i chatsamtaler og eposter, og hvordan det står til med økonomien i nettbanken.

Sandkassa hjelper ikke

Da Apple lanserte versjon 10.7 av OS X, introduserte de nye sikkerhetsregler i operativsystemet som gjelder for alle programmer som er lastet ned
fra deres App Store.

De nye sikkerhetsreglene kom på plass for å skjerme brukerne fra ondsinnede programmer og skadevare. For eksempel kan ikke et program hente ut informasjon fra andre programmer som kjører på samme maskin, uten at brukeren bekrefter at det er greit.

Nå viser det seg at selv programmer som benytter seg av sandkassa på kreativt vis kan hente ut sensitiv informasjon fra andre programmer.

Utnytter en nyttig funksjon i operativsystemet

Metoden som Felix Krause viser til, utnytter en kjernefunksjon som er nyttig for mange programmer. Funksjonen heter CGWindowListCreateImage, og lar et program ta et bilde av skjermen til brukeren.

I mange tilfeller er det nyttig å kunne gjøre dette: Ofte vil man ta et bilde av det som er på skjermen for å sende det videre til noen. Eller hvis man holder en presentasjon via Skype eller lignende telekonferanseprogrammer, brukes denne funksjonen for å vise skjermen din til de andre som er med i samtalen.

Skype bruker den nevnte funksjonen for å muliggjøre skjermdeling. Det er viktig å presisere at det er ingen grunn til å tro at Skype bruker denne funksjonen til noe annet enn å muliggjøre skjermdeling.

Men som Krause påpeker åpner denne funksjonen også for at et program jevnt og trutt kan ta bilder av skjermen din uten at du er klar over det.

En mulig løsning kunne vært at alle programmer som skal ta et bilde av skjermen, må spørre brukeren om lov først. Men, av erfaring vet vi at folk ikke tar slike forespørsler alvorlig lengre, det blir for mange av dem. Så en slik løsning er heller ingen garanti for at problemet unngås.

Krause sendte inn en feilmelding til Apple i oktober 2017, med forslag om hvordan denne feilen kan rettes opp. Foreløpig er det ikke bekreftet at sikkerhetshullet har blitt utnyttet av ondsinnede aktører, og Apple har heller ikke tatt noen steg for å rette opp i problemet. Vi har sendt en henvendselse til Apple, men har foreløpig ikke fått svar. Vi vil oppdatere saken når vi får et svar fra selskapet.

Uavhengig av dette sikkerhetshullet er det en god idé å ha et kritisk blikk på hvilke programmer man installerer, og kanskje ta en tidlig vårrengjøring på maskinen.

10 kommentarer

  1. Sjekk ut eksempelkoden «SonOfGrab» på developer.apple.com .. Ikke bare kan man screenshotte hele skjermen som «non-sudo-user» men man kan screenshotte applikasjoner som kjører i bakgrunnen (hidden eller under andre vinduer). Ikke vanskelig å se for seg at man kan bygge den «ultimate» «screenloggeren» med CGWindowListCopyWindowInfo og CGWindowListCreateImageFromArray .. Litt rart at dette ikke krever en slags «OK» fra brukeren. Samme gjelder forsåvidt mikrofon og webcam .. iPhonen spør jo pent om appene får bruke webcam og mikrofon – men MacOS lar alle apper få tilgang til sånt. Litt rart at desktop-OS’et skal henge så veldig langt bakpå

    Svar på denne kommentaren

  2. Apple har for vane og ignorere ALLE rapporter om feil og mangler i deres programvare og ALDRI høre på kritikk. Plages selv med feil som er 5 – 7 år gamle og internett er full av folk som har klagd på disse i alle år uten at noe som helst har blitt gjort.

    Svar på denne kommentaren

  3. Morten Tindvik

    På telefonen gir man jo tillatelser ved første gangs bruk og så er disse aktive til man evt tar tillatelsen tilbake.
    Skjønner og at det kan være mye styr skulle man være nødt å gi tillatelse hver gang man skulle bruke en app.

    Men skjønner ikke hvorfor ikke ting som å ta opp lyd og ta screenshot etc må gis tillatelse til for hver gang den funksjonen bevisst aktiveres. Er jo ikke alltid en app funksjon har behov for å brukes selv om jeg bruker appen.

    Evt bør apper gi ett varsel når disse feks tar tar opp lyd eller tar ett screenshot.

    Svar på denne kommentaren

  4. Kan dere vennligst slutte med infinite scrolling?? Det er så ufattelig irriterende når jeg leser en artikkel og så blir jeg plutselig bombadert med nye artikler og ikke helt kan vite om jeg fortsatt er på den artikkelen jeg opprinnelig kom for å lese. Ikke tving meg til å lese ting jeg ikke vil lese!

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Når kom sandkassa til OS X?

Hvem har oppdaget hullet?

Hva heter funksjonen som gjør det mulig å ta bilde av skjermen?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *