En nyupptäckt sårbarhet i macOS kan ge angripare möjlighet att stänga av viktiga säkerhetsverktyg utan administratörsrättigheter.
Enligt säkerhetsföretaget XM Cyber kan metoden användas för att kringgå skydd som många företag förlitar sig på för att upptäcka intrång. Upptäckten presenteras inför säkerhetskonferensen Black Hat i augusti, där forskarna även kommer att demonstrera ett nytt analysverktyg kallat XPC Hunter.
Kan stänga av säkerhetsprogram
Enligt XM Cyber lyckades forskarna stänga av säkerhetslösningar från både CrowdStrike och Kandji på en Mac utan att använda vare sig kernel-exploits eller metoder för att kringgå Apples System Integrity Protection (SIP).
I stället utnyttjas en funktion i macOS som heter XPC, ett kommunikationssystem som används för att appar ska kunna kommunicera med bakgrundstjänster med högre behörighet.
Forskarna menar att vissa utvecklare förlitar sig alltför mycket på att en app är digitalt signerad av Apple. Genom att manipulera en redan godkänd app kan en angripare enligt rapporten få tillgång till privilegierade XPC-funktioner och därmed stänga av säkerhetsprogram som egentligen ska vara skyddade.
Kräver redan tillgång till datorn
Metoden är inte ett sätt att ta sig in i en Mac på distans. För att attacken ska fungera måste angriparen först ha fått tillgång till ett vanligt användarkonto på datorn, exempelvis genom nätfiske, stulna lösenord eller annan skadlig kod.
Det gör inte sårbarheten mindre allvarlig, enligt forskarna. När angripare väl tagit sig in i ett system är ett vanligt nästa steg att försöka stänga av säkerhetsprogram innan de fortsätter attacken eller försöker komma åt känslig information.
Apple har ännu inte kommenterat
XM Cyber uppger att företaget informerade de berörda leverantörerna innan resultaten offentliggjordes. Kandji har redan åtgärdat den specifika sårbarheten och registrerat den som CVE-2026-39118. Apple har däremot ännu inte publicerat någon säkerhetsuppdatering eller bekräftat forskarnas slutsatser.
Kan påverka fler appar
Enligt forskarna handlar problemet inte enbart om CrowdStrike och Kandji. Om analysen stämmer kan samma typ av brister finnas i andra macOS-appar som använder privilegierade XPC-tjänster. Det skulle innebära att fler utvecklare behöver se över hur deras program verifierar förfrågningar från andra appar.
Så skyddar du dig
Eftersom attacken kräver att angriparen redan fått åtkomst till ett användarkonto är grundläggande säkerhetsrutiner fortfarande det viktigaste skyddet.
Säkerhetsföretaget rekommenderar att användare:
- Använder starka och unika lösenord
- Aktiverar tvåfaktorsautentisering
- Installerar de senaste uppdateringarna för macOS och säkerhetsprogram
- Håller säkerhetsverktyg och enhetshantering uppdaterade
För företag med många Mac-datorer kan det också vara läge att följa rekommendationerna från sina säkerhetsleverantörer i takt med att fler detaljer om sårbarheten blir kända.
