绕过Mojave沙箱限制的技术分析<\/h1>

概述<\/h2>
本文详细介绍了macOS Mojave系统中沙箱限制的一个隐私问题，尽管苹果公司已尝试解决，但沙箱应用程序仍能通过这些技术暗中监视用户。该技术甚至能在最新版本的macOS系统上使用。<\/p>

背景知识<\/h2>

沙箱机制<\/h3>

macOS沙箱是一种安全机制，旨在限制应用程序的权限和能力，防止其：<\/p>

任意访问用户文件（如图片或下载文件）<\/li>
捕获用户键盘输入信息<\/li>

破坏操作系统<\/li> <\/ul>

分布式通知<\/h3>

macOS允许应用或系统组件通过DistributedNotificationCenter<\/code>类"跨越任务边界"广播通知。这些通知被称为"分布式通知"，是系统各组件间通信的重要机制。<\/p>

要全局注册接收所有分布式通知，可调用CFNotificationCenterAddObserver<\/code>函数，将name<\/code>参数设为nil<\/code>：<\/p>

\/\/ 回调函数
<\/span><\/span><\/span><\/span>static<\/span> void<\/span> callback<\/span>(CFNotificationCenterRef center, void<\/span> *<\/span>observer, CFStringRef name_cf, 
<\/span><\/span>                     const<\/span> void<\/span> *<\/span>object, CFDictionaryRef userInfo)
<\/span><\/span>{
<\/span><\/span>    NSLog(@"event: %@"<\/span>, (__bridge<\/span> NSString*<\/span>)name_cf);
<\/span><\/span>    NSLog(@"user info: %@"<\/span>, userInfo);
<\/span><\/span>    NSLog(@"object: %@"<\/span>, (__bridge<\/span> id<\/span>)object);
<\/span><\/span>    return<\/span>;
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>int<\/span> main<\/span>(int<\/span> argc, const<\/span> char<\/span> *<\/span> argv[]) 
<\/span><\/span>{
<\/span><\/span>   \/\/ 注册分布式通知监听器
<\/span><\/span><\/span><\/span>   CFNotificationCenterAddObserver(CFNotificationCenterGetDistributedCenter(), 
<\/span><\/span>                                   nil, callback, nil, nil, 
<\/span><\/span>                                   CFNotificationSuspensionBehaviorDeliverImmediately);
<\/span><\/span>
<\/span><\/span>   [[NSRunLoop currentRunLoop] run];
<\/span><\/span>   return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>沙箱限制与绕过技术<\/h2>
苹果的限制措施<\/h3>
苹果意识到沙箱应用不应接收全局分布式通知，因此当沙箱应用尝试注册全局监听器时，系统会阻止：<\/p>
*** attempt to register for all distributed notifications thwarted by sandboxing.
<\/code><\/pre>
绕过方法<\/h3>
虽然苹果阻止了全局注册(name<\/code>参数为nil<\/code>)，但允许通过具体名称注册单个通知。因此可以：<\/p>

先在非沙箱环境中捕获所有通知名称<\/li>
在沙箱中逐个注册这些特定名称的通知<\/li>
<\/ol>
示例代码监听下载完成通知：<\/p>
static<\/span> void<\/span> callback<\/span>(CFNotificationCenterRef center, void<\/span> *<\/span>observer, CFStringRef name_cf, 
<\/span><\/span>                    const<\/span> void<\/span> *<\/span>object, CFDictionaryRef userInfo)
<\/span><\/span>{
<\/span><\/span>    NSLog(@"event: %@"<\/span>, (__bridge<\/span> NSString*<\/span>)name_cf);
<\/span><\/span>    NSLog(@"user info: %@"<\/span>, userInfo);
<\/span><\/span>    NSLog(@"object: %@"<\/span>, (__bridge<\/span> id<\/span>)object);
<\/span><\/span>    return<\/span>;
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>- (void<\/span>)applicationDidFinishLaunching:<\/span>(NSNotification *<\/span>)aNotification {
<\/span><\/span>    NSString*<\/span> name =<\/span> @"com.apple.DownloadFileFinished"<\/span>;  
<\/span><\/span>    CFNotificationCenterAddObserver(CFNotificationCenterGetDistributedCenter(), 
<\/span><\/span>                                   nil, callback, (CFStringRef)name, nil, 
<\/span><\/span>                                   CFNotificationSuspensionBehaviorDeliverImmediately);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>可监控的系统事件<\/h2>
通过此方法可监控多种系统事件，包括但不限于：<\/p>
用户活动监控<\/h3>

下载文件<\/strong>：com.apple.DownloadFileFinished<\/code>

包含下载文件名，即使在隐身模式下<\/li>
<\/ul>
<\/li>
应用程序使用<\/strong>：com.apple.sharedfilelist.change<\/code>

可追踪最近使用的应用程序<\/li>
<\/ul>
<\/li>
文件访问<\/strong>：com.apple.dt.Xcode.notification.IDEEditorCoordinatorDistributedDidCompleteNotification<\/code>

可监控Xcode中打开的文件<\/li>
<\/ul>
<\/li>
<\/ul>
系统状态监控<\/h3>

屏幕锁定\/解锁<\/strong>：com.apple.screenIsLocked<\/code>\/com.apple.screenIsUnlocked<\/code><\/li>
屏幕保护程序<\/strong>：com.apple.screensaver.didlaunch<\/code>, com.apple.screensaver.didstart<\/code>等<\/li>
蓝牙活动<\/strong>：com.apple.bluetooth.status<\/code>

包含连接的蓝牙设备信息<\/li>
<\/ul>
<\/li>
HID设备连接<\/strong>：com.apple.MultitouchSupport.HID.DeviceAdded<\/code><\/li>
USB设备卸载<\/strong>：com.apple.unmountassistant.process.start<\/code><\/li>
<\/ul>
软件安装与运行<\/h3>

新应用安装<\/strong>：com.apple.LaunchServices.applicationRegistered<\/code>

包含新安装应用的bundle ID<\/li>
<\/ul>
<\/li>
内核扩展加载<\/strong>：Loaded Kext Notification<\/code>

包含kext名称和路径信息<\/li>
<\/ul>
<\/li>
<\/ul>
技术限制<\/h2>
虽然可以获取这些通知信息，但沙箱的其他限制仍然有效：<\/p>

无法直接读取下载的文件内容<\/li>
只能获取通知中明确包含的信息<\/li>
需要预先知道要监听的具体通知名称<\/li>
<\/ul>
防御建议<\/h2>
针对此问题的防御措施包括：<\/p>

苹果应加强沙箱限制，防止通过名称逐个注册通知<\/li>
对敏感通知增加权限控制<\/li>
减少通知中包含的敏感信息<\/li>
提供用户可控的通知权限管理<\/li>
<\/ol>
总结<\/h2>
这一技术展示了macOS沙箱机制中的一个重要隐私漏洞，允许沙箱应用绕过设计限制，监控用户活动和系统状态。虽然不构成直接的安全威胁，但确实违反了沙箱的核心设计原则，可能被恶意软件利用进行用户行为分析。<\/p>

绕过Mojave沙箱限制的技术分析<\/h1>

概述<\/h2> 本文详细介绍了macOS Mojave系统中沙箱限制的一个隐私问题，尽管苹果公司已尝试解决，但沙箱应用程序仍能通过这些技术暗中监视用户。该技术甚至能在最新版本的macOS系统上使用。<\/p>

背景知识<\/h2>

沙箱限制与绕过技术<\/h2>

可监控的系统事件<\/h2> 通过此方法可监控多种系统事件，包括但不限于：<\/p>

概述<\/h2>
本文详细介绍了macOS Mojave系统中沙箱限制的一个隐私问题，尽管苹果公司已尝试解决，但沙箱应用程序仍能通过这些技术暗中监视用户。该技术甚至能在最新版本的macOS系统上使用。<\/p>

可监控的系统事件<\/h2>
通过此方法可监控多种系统事件，包括但不限于：<\/p>