Cảnh báo: Bạn không nên tin tưởng hoàn toàn vào cài đặt Quyền riêng tư & Bảo mật trên macOS

Trong bài viết này, tôi sẽ chứng minh cách mà những gì bạn nhìn thấy trong cài đặt Quyền riêng tư & Bảo mật (Privacy & Security) trên macOS có thể gây hiểu lầm. Đôi khi, hệ thống báo rằng một ứng dụng không có quyền truy cập vào thư mục được bảo vệ, nhưng thực tế nó lại có thể đọc dữ liệu một cách tự do.

Để làm rõ vấn đề này, tôi đã viết một ứng dụng nhỏ tên là Insent. Mặc dù tôi đang làm việc trên macOS Tahoe 26.4, nhưng hành vi này có khả năng xuất hiện trên bất kỳ phiên bản nào từ macOS 13.5 trở lên.

Giao diện ứng dụng Insent minh họa

Insent có hai nút chức năng chính để chúng ta thực hiện thí nghiệm:

• Open by consent (Mở bằng sự đồng ý): Ứng dụng chọn ngẫu nhiên một tệp văn bản từ thư mục Documents của bạn. Vì không có sự can thiệp trực tiếp của người dùng tại thời điểm truy cập, hệ thống quyền riêng tư TCC sẽ yêu cầu sự đồng ý để liệt kê và truy cập nội dung thư mục được bảo vệ này.
• Open from folder (Mở từ thư mục): Mở bảng thoại Open and Save Panel để bạn tự chọn một thư mục. Sau đó, Insent sẽ chọn ngẫu nhiên một tệp từ thư mục đó. Vì bạn đã thể hiện ý định rõ ràng muốn truy cập, TCC coi đây là sự cho phép ngầm mà không cần bật công tắc trong cài đặt.

Quy trình minh họa lỗ hổng

Hãy theo dõi chuỗi hành động sau để thấy sự mâu thuẫn giữa giao diện cài đặt và thực tế:

1. Mở Insent, nhấn Open by consent và đồng ý cho phép truy cập thư mục Documents. Insent sẽ hiển thị nội dung tệp. Sau đó, thoát ứng dụng.
2. Vào cài đặt Privacy & Security, chọn Files & Folders, xác nhận Insent đã được cấp quyền truy cập Documents.
3. Mở lại Insent, nhấn Open by consent để xác nhận nó hoạt động mà không cần hỏi lại. Thoát ứng dụng.
4. Vào lại cài đặt Privacy & Security > Files & Folders và tắt quyền truy cập Documents của Insent.
5. Mở Insent, nhấn Open by consent. Lúc này, ứng dụng sẽ báo lỗi không thể lấy nội dung thư mục Documents.
6. Bây giờ, hãy nhấn Open from folder và chọn thư mục Documents trong bảng thoại hiện ra. Insent sẽ hoạt động bình thường và hiển thị nội dung một tệp văn bản.
7. Quay lại nhấn Open by consent. Bạn sẽ thấy nó hoạt động trở lại!

Cài đặt quyền truy cập tệp trên macOS

Hãy kiểm tra lại mục Files & Folders trong cài đặt: quyền truy cập Documents của Insent vẫn đang ở trạng thái Tắt. Tuy nhiên, thực tế là ứng dụng này giờ đây đã có quyền truy cập hoàn toàn vào Documents, bất kể giao diện hiển thị gì.

Cách duy nhất để chặn Insent truy cập lại là chạy lệnh sau trong Terminal:

tccutil reset All co.eclecticlight.Insent

Sau đó khởi động lại Mac. Hành động này sẽ đặt lại cài đặt quyền riêng tư của ứng dụng về mặc định.

Bạn cũng có thể chứng minh rằng hành vi này chỉ cụ thể cho một thư mục được bảo vệ tại một thời điểm. Nếu bạn chọn một thư mục khác được bảo vệ như Desktop hoặc Downloads bằng nút Open from folder, Insent vẫn sẽ không thể liệt kê nội dung thư mục Documents, vì các cài đặt TCC của nó vẫn hoạt động như mong đợi đối với thư mục chưa được chọn.

Cơ chế hoạt động đằng sau hậu trường

Insent là một ứng dụng thông thường, đã được notarized (xác thực) và không chạy trong sandbox hay sử dụng bất kỳ thủ thuật nào quá phức tạp. Khi System Integrity Protection (SIP) được bật, một số hoạt động của nó bị sandbox chặn, bao gồm các nỗ lực liệt kê hoặc truy cập nội dung của các vị trí được TCC bảo vệ.

Khi bạn nhấn nút Open by consent, sandboxd sẽ chặn lời gọi File Manager để liệt kê nội dung thư mục Documents và yêu cầu TCC phê duyệt. Nếu bạn tắt quyền truy cập trong cài đặt, TCC sẽ từ chối và Insent không thể lấy danh sách tệp.

Tuy nhiên, khi bạn truy cập thư mục thông qua bảng thoại Open and Save Panel (ý định của người dùng), sandboxd không còn chặn yêu cầu đó nữa. Do đó, TCC không cấp hay từ chối quyền truy cập theo cách thông thường.

Nhật ký hệ thống cho thấy quá trình cấp quyền

Việc truy cập vào thư mục được bảo vệ bởi ý định người dùng sẽ thay đổi việc áp dụng sandbox cho ứng dụng đó bằng cách loại bỏ ràng buộc đối với thư mục cụ thể đó. Vì việc áp dụng sandbox không được kiểm soát hoặc phản ánh trong cài đặt Privacy & Security, TCC trong mục Files & Folders tiếp tục hiển thị các hạn chế truy cập mà thực tế không còn được áp dụng.

Kết luận

Các hạn chế truy cập được hiển thị trong cài đặt Privacy & Security, cụ thể là đối với các vị trí được bảo vệ trong Files & Folders, không phải là sự phản ánh chính xác hoặc đáng tin cậy về những hạn chế thực tế đang được áp dụng. Một ứng dụng hoàn toàn có thể có quyền truy cập không giới hạn vào một hoặc nhiều thư mục được bảo vệ trong khi danh sách của nó trong Files & Folders lại hiển thị là bị chặn, hoặc thậm chí không có mục nào trong danh sách đó.

Điều này có khả năng xảy ra không?

Hầu hết các ứng dụng muốn truy cập vào các thư mục được bảo vệ như Documents thường sẽ yêu cầu quyền đó trong quá trình khởi tạo, trước bất kỳ tương tác nào của người dùng có thể dẫn đến việc ý định lấn át nhu cầu đồng ý. Tuy nhiên, nhiều người dùng báo cáo rằng các ứng dụng dường như có quyền truy cập vào Documents nhưng không được liệt kê trong Files & Folders, cho thấy chuỗi sự kiện này thực sự xảy ra trong thực tế.

Để khai thác hiệu quả điều này, cần một trình tự thao tác cẩn thận và người dùng phải chọn thư mục được bảo vệ trong bảng thoại Open and Save Panel, điều này có thể thu hút sự chú ý đến hành động đó.

Đáng lo ngại nhất là tính chất "vĩnh viễn" của quyền truy cập được cấp theo cách này, đòi hỏi phải sử dụng một lệnh Terminal khó nhớ và khởi động lại máy để đặt lại cài đặt quyền riêng tư của ứng dụng. Rất khó để tin rằng đây là ý định của Apple nhằm bẫy người dùng buộc phải từ bỏ quyền kiểm soát đối với các vị trí được bảo vệ, nhưng thực tế là nó có thể làm được điều đó.