Sandbox化されたアプリでもユーザーに気づかれないようにMacの画面を録画し、OCRで情報を抜き出すことが出来るPoCが公開される。

　Sandbox化されたアプリでもユーザーに気づかれないようにMacの画面を録画し、OCRで情報を抜き出すことが出来るというPoCをGoogleエンジニアのFelix Krauseさんが公開しています。詳細は以下から。

　Appleは現在、Mac App Storeで配布するアプリにSandbox化を義務付け、アプリがシステムや不要な情報へアクセス出来ないようにしていますが、Apple IDのパスワード詐欺などの実証コード(PoC)を公開しているGoogleのエンジニアFelix Krauseさんは、Sandbox化されたアプリでもユーザーに気づかれないようMacの画面を録画し、そこからメールアドレスやメッセージ、APIキーなどを抽出することが可能だったとしてAppleに改善を求めているそうです。

Summary:
Any Mac app, sandboxed or not sandboxed can:

• Take screenshots of your Mac silently without you knowning
• Access every pixel, even if the Mac app is in the background
• Use basic OCR software to read the text on the screen

rdar://37423927 – OpenRadar

PoC

　Krauseさんは数週間前にこの問題をAppleに報告したため、全ては公開できないとしながらも、利用するのはOS X 10.5 Leopardから採用されている「CGWindowListCreateImage」関数とOCRライブラリだけで、実際に以下の画像はこの手法を利用して録画したMacの画面をOCRライブラリにかけた結果で、GitHubのAPIキーやメールアドレスが抽出されているのが確認できます。

　OS X/macOSの録画機能は1Password for Macがv5.3から2ファクタ認証のQRコードを読み込むのに利用しており、Skypeも画面共有でこの機能を利用していることから一概に問題のある機能だとは言えないため、KrauseさんはAppleはApp Storeレビューの段階でスクリーンにアクセスするかを確認することや、この機能を利用する際は毎回 許可ダイアログを表示するといった改善を行うようにAppleに求めています。

Proposal
There are lots of valid use-cases for Mac apps to record the screen, e.g. 1Password 2fA support, screen recording software or even simple screen sharing via your web browser or Skype. However there must be some kind of control:

• The App Store review process could verify the Sandbox entitlements for accessing the screen
• Put the user in charge with a permission dialog
• Additionally the user should be notified whenever an app accesses the screen.

Mac Privacy: Sandboxed Mac apps can record your screen at any time without you knowing – Felix Krause

• Mac Privacy: Sandboxed Mac apps can record your screen at any time without you knowing – Felix Krause
• rdar://37423927: Sandboxed Mac apps can take screenshots of the full screen – OpenRadar