باگي كه دور زدن لايههاي امنيتي macOS را ممكن ميكرد، برطرف شد
طبق آمار، شمار بدافزارهاي مك او اس (Apple macOS) بهمرور زمان افزايش مييابد و اپل در سالهاي اخير بهدفعات تلاش كرده است لايههاي امنيتي بيشتري به سيستمعامل خود اضافه كند تا اجراي نرمافزارهاي مخرب روي macOS بسيار اشكالتر شود.
اما به گزارش وايرد، «يك آسيبپذيري در سيستمعامل» كه روز گذشته بهصورت علني تشريح و رسما پچ شد، مورد بهرهبرداري قرار گرفته است. وايرد ادعا ميكند اين آسيبپذيري ميتوانست «تمامي لايههاي حفاظتي macOS را دور بزند.»
سدريك اونز، محقق حوزهي امنيت، در اواسط ماه مارس ۲۰۲۱ (اواخر اسفند ۱۳۹۹ و اوايل فروردين ۱۴۰۰) زماني كه مشغول مطالعه روي قابليتهاي حفاظتي macOS بود موفق به پيدا كردن آسيبپذيري جديد شد.
مكانيزم گيتكيپر (Gatekeeper) از توسعهدهندگان ميخواهد در اپل ثبت نام و تعرفهي مشخصي را پرداخت كنند تا امكان اجراي نرمافزار آنها روي مك فراهم شود. فرايند تأييد اعتبار نرمافزارهاي مك بهصراحت اعلام ميكند يكايك اپليكيشنهاي اين سيستمعامل بايد فرايند مطالعه خودكار را بگذرانند. دستورالعملهاي اين فرايند مطالعه خودكار از قبل توسط اپل تعيين شده است و بهطور مشترك براي همهي نرمافزارها اعمال ميشود.
آسيبپذيري منطقي كه اونز پيدا كرد ارتباطي به سيستم تأييد اعتبار اپليكيشنها ندارد بلكه درون خود سيستمعامل macOS قرار گرفته است. هكرها از لحاظ تئوري ميتوانند بدافزارهاي خود را بهگونهاي طراحي كنند كه سيستمعامل فريب بخورد و اجازهي اجراي آن را صادر كند، حتي اگر در تمام آزمايشهاي امنيتيِ گيتكيپر رد شده باشد.
آسيبپذيري جديد macOS تمام لايههاي محافظتي سيستمعامل را دور ميزد
اونز ميگويد با درانديشه متخصصينگرفتن بهبودهاي امنيتي اعمالشده در macOS طي چند سال اخير، «متعجب شده كه اين تكنيك ساده كار كرده است. به همين دليل با درانديشه متخصصينگرفتن احتمال استفادهي هكرهاي دنياي واقعي از اين تكنيك براي عبور از گيتكيپر، فورا جزئيات ماجرا را به اپل گزارش دادم.» بر اساس آنچه محقق امنيتي مذكور ادعا ميكند، به چند شيوه ميتوان از چنين باگي براي نفوذ به سيستم بهرهبرداري كرد.
اشكال امنيتي macOS مثل دَرِ ورودي جلوي خانه است كه به شكل مؤثر بسته شده؛ اما در مخصوص عبور گربه در بخش پاييني آن ديده ميشود و شما ميتوانيد بهراحتي از طريق آن، بمبي داخل خانه بيندازيد.
اپل بهاشتباه فرض كرده است كه اپليكيشنها هميشه داراي يك سري ويژگي مشخص هستند. اونز متوجه شد اگر اپليكيشني كه صرفا يك اسكريپت (كدي كه به نرمافزار ديگري ميگويد كار مشخصي انجام بدهد و خود آن كار را انجام نميدهد) باشد و از فايل متاديتاي اپليكيشنهاي استاندارد به نام info.plist استفاده نكند، ميتواند روي تمام مكها اجرا شود. در حالت عادي مك چنين پيغامي روي صفحه ظاهر ميكند: «اين اپليكيشن از اينترنت دانلود شده است. مطمئن هستيد كه ميخواهيد بازش كنيد؟» اما در صورت استفاده از تكنيك اونز، چنين پيغامي روي صفحه ظاهر نميشود.
اونز ميگويد جزئيات كامل باگ macOS را با اپل به اشتراك گذاشته و يافتههاي خود را در اختيار پاتريك واردل، از محققان امنيتي باسابقهي macOS، قرار داده است. واردل مطالعههاي عميقتري انجام داد تا بفهمد macOS چگونه با چنين اشكالي مواجه شده است.
واردل در مقالهاي اعلام كرده است macOS بهدرستي تشخيص ميدهد كه فايل مورد انديشه متخصصين از اينترنت دانلود شده است و تصميم ميگيرد آن را قرنطينه كند و تمامي مطالعههاي امنيتي را انجام بدهد. macOS ابتدا مطالعه ميكند كه اپليكيشن تأييد اعتبار شده است يا خير (در تكنيك اونز، اپليكيشن تأييد اعتبار نشده است).
در مرحلهي بعد، macOS سراغ مطالعه اين موضوع ميرود كه نرمافزار «بستهي اپليكيشن» است يا خير. سيستمعامل كامپيوترهاي اپل وقتي هيچ فايلي با عنوان info.plist پيدا نميكند، بهاشتباه تشخيص ميدهد كه با اپليكيشن مواجه نيست. به همين دليل macOS هرگونه شواهدي كه نشاندهندهي خلاف اين موضوع باشد ناديده ميگيرد و بدون نشان دادن هشدار روي صفحه، اجازهي اجراي اپليكيشن را صادر ميكند. واردل ميگويد: «اين بهنوعي ديوانهوار است!»
واردل پس از فهميدن نحوهي كاركرد باگ macOS سراغ شركت Jamf (فعال در حوزهي مديريت دستگاههاي اپل) رفت تا بفهمد آيا آنتيويروس Protect اين شركت موفق به پيدا كردن بدافزارهاي مبتني بر اسكريپت شده است يا خير. طبق ادعاي واردل، Jamf متوجه شده نسخهاي از تبليغافزار Shlayer به شكل فعالانه مشغول بهرهبرداري از باگ مورد اشاره بوده است.
آسيبپذيري macOS Big Sur 11.3 كه روز گذشته منتشر شد، رفع شده است
قابليت گيتكيپر macOS كه در سال ۲۰۱۲ آغاز به كار كرد، به هنگام تلاش براي اجراي اپليكيشنهايي كه از خارج از اپ استور مك دانلود شدهاند، پيغامي روي صفحه ظاهر ميكند و به متخصصان هشدار ميدهد كه اجراي چنين اپليكيشني ممكن است از لحاظ امنيتي كار عاقلانهاي نباشد؛ اما طي سالهاي اخير هكرها بارها موفق شدهاند قربانيان را فريب بدهند و بدافزارشان را به شكل گسترده وارد سيستمها كنند.
پيشنيازهاي سيستم تأييد اعتبار اپل كه در فوريهي ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) روي كار آمدند، باعث شدهاند ورود بدافزارها به مك بسيار سختتر شود. اگر متخصص بخواهد اپليكيشني اجرا كند كه فرايند تأييد اعتبار را نگذرانده باشد، macOS بهطور كلي اجازهي اجراي اپليكيشن را نميدهد. اين موضوع اشكال بسيار بزرگي براي مجرمان سايبري است؛ بهخصوص آنهايي كه به تبليغافزار متكي ميشوند.
گروهي كه Shlayer را توسعه ميدهد بهشدت دنبال راهكارهايي براي دور زدن سيستم تأييد اعتبار اپل بوده و چند بار توانسته است اين سيستم را فريب بدهد. باگي كه به شما امكان بدهد سيستم تأييد اعتبار را بهطور كلي دور بزنيد، قطعا مورد استقبال چنين افرادي قرار ميگيرد. اين باگ كار Shlayer را بسيار راحت ميكند، چون توسعهدهندگان اين نرمافزار مجبور نيستند متخصصان را براي اجراي بدافزار فريب بدهند.
ظاهرا اپل در macOS Big Sur 11.3 كه روز گذشته منتشر شد، بهروزرساني امنيتي ويژهاي قرار داده است كه باگ را رفع ميكند. فردي به نمايندگي از اپل در گفتوگو با وايرد تأييد كرد كه باگ رفعشدهي macOS به بدافزارها امكان ميداد سيستم تأييد اعتبار را دور بزنند و در نتيجهي آن هشدار گيتكيپر روي صفحه ظاهر نشود.
اپل افزون بر رفع آسيبپذيري منطقي macOS، ابزار نظارت بر سيستم XProtect را بهروزرساني كرده است تا هر نوع نرمافزاري كه بهدنبال بهرهبرداري از آسيبپذيري مورد اشاره است، شناسايي كند و اين موضوع را به متخصص اطلاع بدهد. اين يعني حتي نسخههاي پيشين macOS نيز اكنون ايمنتر هستند.
واردل ميگويد اين آسيبپذيري مك نتيجهي خطايي مهندسي است و نشان ميدهد حتي حفاظتشدهترين سيستمهاي عامل نيز ممكن است آسيبپذير باشند. اين محقق ميگويد همهي سيستمهاي عامل دچار باگ امنيتي ميشوند؛ «اما اين باگ بسياري از بخشهاي اصلي و بنيادي macOS را بهطور كامل زير سؤال ميبرد.» اين محقق كه سابقهاي طولاني در مطالعه امنيتي macOS دارد، اعلام ميكند «باگ مورد مباحثه [نتيجهي] اشتباه انديشه متخصصيني بسيار تكاندهندهاي است.»
اپل روز گذشته iOS 14.5 و iPadOS 14.5 را نيز منتشر كرد. نسخهي جديد iOS قابليت مباحثهبرانگيز حريم خصوصي ATT را كه بارها مورد انتقاد فيسبوك قرار گرفته است فعال ميكند.
هم انديشي ها