امكان نصب بدافزار در مك بهدليل آسيبپذيري Gatekeeper
اشكالي در قابليت گيتكيپر MacOS كه براي محافظت از مك دربرابر بدافزارها طراحي شده، باعث شده بستهي نرمافزاري مخربي بهنام OSX/Linker براساس آن منتشر شود. فيليپو كاوايارين، محقق حوزهي امنيت، اكسپلويتي كشف كرده كه براساس دو قابليت پايهي مك كار ميكند. اين قابليتها گيتكيپر (Gatekeeper) و اتومانت (Automount) هستند.
باتوحهبه مطالعههاي تامز گايد، گيتكيپر فايلهاي دانلودشده از اينترنت را براي مطالعه به آنتيويروس XProtect اپل ميفرستد؛ ولي فايلهاي دريافتي حافظهي محلي را كه خود بهوسيلهي اتومانت بالا آمده (اصطلاحا مانتشده) باشد، امن بهحساب ميآورد و آنها را مطالعه نميكند. برهميناساس، كاوايارين موفق شد گيتكيپر را گول بزند و فايلي را كه دانلود شده بود، بهعنوان فايلي از درايو محلي جا بزند و بدينصورت، پروتكلهاي معمول شناسايي را دور بزند.
گفته شده كاوايارين در فوريه، وجود اين اشكال را به اپل گزارش داده بود؛ ولي ازآنجاكه اين اشكال برطرف نشد، جزئيات آن را در ۲۴مه منتشر كرد.
بدافزار OSX/Linker كه براي اين حفره نوشته شده، تلاش ميكند مك را در دست بگيرد (بهاصطلاح هايجك كند) و بدينترتيب، از آن براي هرگونه فعاليت بدخواهانهاي استفاده كند كه مهاجمان بخواهند؛ از استخراج ارز ديجيتال گرفته تا دزدي اطلاعات.
اين كد تاكنون چهار دفعه در ويروستوتال، پايگاهي كه محققان از آن براي شناسايي و بهاشتراكگذاري بدافزارها استفاده ميكنند، بارگذاري شده است. هرچند اين تعداد نسبتا كم است و هماكنون نيز اين بدافزار را نرمافزار اينتگو (Intego) و احتمالا ساير آنتيويروسها شناسايي ميكنند.
محافظت از خود دربرابر OSX/Linker كار سادهاي است؛ بهويژه اگر پروتكلهاي استانداردي مانند دانلودنكردن از منابع ناشناس را رعايت كنيد. همچنين، ميتوان قابليت اتومانت را غيرفعال كرد؛ ولي با انجام اين كار متخصصان مجبور ميشوند درايوهاي خارجي خود را در هر بار استفاده دستي قطع و وصل كنند.
هم انديشي ها