باگی که دور زدن لایه‌های امنیتی macOS را ممکن می‌کرد، برطرف شد

باگی که دور زدن لایه‌های امنیتی macOS را ممکن می‌کرد، برطرف شد

نقص امنیتی که اپل در macOS Big Sur 11.3 رفع کرد، از لحاظ تئوری به هکر امکان می‌داد تمام سیستم‌های حفاظتی مک را دور بزند و روی کامپیوترهای اپل بدافزار اجرا کند. یک محقق این باگ را «تکان‌دهنده» خطاب می‌کند.

طبق آمار، شمار بدافزارهای مک او اس (Apple macOS) به‌مرور زمان افزایش می‌یابد و اپل در سال‌های اخیر به‌دفعات تلاش کرده است لایه‌های امنیتی بیشتری به سیستم‌عامل خود اضافه کند تا اجرای نرم‌افزارهای مخرب روی macOS بسیار مشکل‌تر شود.

اما به گزارش وایرد، «یک آسیب‌پذیری در سیستم‌عامل» که روز گذشته به‌صورت علنی تشریح و رسما پچ شد، مورد بهره‌برداری قرار گرفته است. وایرد ادعا می‌کند این آسیب‌پذیری می‌توانست «تمامی لایه‌های حفاظتی macOS را دور بزند.»

سدریک اونز، محقق حوزه‌ی امنیت، در اواسط ماه مارس ۲۰۲۱ (اواخر اسفند ۱۳۹۹ و اوایل فروردین ۱۴۰۰) زمانی‌ که مشغول مطالعه روی قابلیت‌های حفاظتی macOS بود موفق به پیدا کردن آسیب‌پذیری جدید شد.

مکانیزم گیت‌کیپر (Gatekeeper)‌ از توسعه‌دهندگان می‌خواهد در اپل ثبت‌ نام و تعرفه‌ی مشخصی را پرداخت کنند تا امکان اجرای نرم‌افزار آن‌ها روی مک فراهم شود. فرایند تأیید اعتبار نرم‌افزارهای مک به‌صراحت اعلام می‌کند یکایک اپلیکیشن‌های این سیستم‌عامل باید فرایند بررسی خودکار را بگذرانند. دستورالعمل‌های این فرایند بررسی خودکار از قبل توسط اپل تعیین شده است و به‌طور مشترک برای همه‌ی نرم‌افزارها اعمال می‌شود.

آسیب‌پذیری منطقی‌ که اونز پیدا کرد ارتباطی به سیستم تأیید اعتبار اپلیکیشن‌ها ندارد بلکه درون خودِ سیستم‌عامل macOS قرار گرفته است. هکرها از لحاظ تئوری می‌توانند بدافزارهای خود را به‌گونه‌ای طراحی کنند که سیستم‌عامل فریب بخورد و اجازه‌ی اجرای آن را صادر کند، حتی اگر در تمام آزمایش‌های امنیتیِ گیت‌کیپر رد شده باشد.

آسیب‌پذیری جدید macOS تمام لایه‌های محافظتی سیستم‌عامل را دور می‌زد

اونز می‌گوید با درنظرگرفتن بهبودهای امنیتی اعمال‌شده در macOS طی چند سال اخیر، «متعجب شده که این تکنیک ساده کار کرده است. به‌ همین دلیل با درنظرگرفتن احتمال استفاده‌ی هکرهای دنیای واقعی از این تکنیک برای عبور از گیت‌کیپر، فورا جزئیات ماجرا را به اپل گزارش دادم.» بر اساس آنچه محقق امنیتی مذکور ادعا می‌کند، به چند شیوه می‌توان از چنین باگی برای نفوذ به سیستم بهره‌برداری کرد. 

مشکل امنیتی macOS مثل دَرِ ورودی جلوی خانه است که به شکل مؤثر بسته شده؛ اما در مخصوص عبور گربه در بخش پایینی آن دیده می‌شود و شما می‌توانید به‌راحتی از طریق آن، بمبی داخل خانه بیندازید.

اپل به‌اشتباه فرض کرده است که اپلیکیشن‌ها همیشه دارای یک‌ سری ویژگی‌ مشخص هستند. اونز متوجه شد اگر اپلیکیشنی که صرفا یک اسکریپت (کدی که به نرم‌افزار دیگری می‌گوید کار مشخصی انجام بدهد و خود آن کار را انجام نمی‌دهد) باشد و از فایل متادیتای اپلیکیشن‌های استاندارد به نام info.plist استفاده نکند، می‌تواند روی تمام مک‌ها اجرا شود. در حالت عادی مک چنین پیغامی روی صفحه ظاهر می‌کند: «این اپلیکیشن از اینترنت دانلود شده است. مطمئن هستید که می‌خواهید بازش کنید؟» اما در صورت استفاده از تکنیک اونز، چنین پیغامی روی صفحه ظاهر نمی‌شود. 

اونز می‌گوید جز‌ئیات کامل باگ macOS را با اپل به اشتراک گذاشته و یافته‌های خود را در اختیار پاتریک واردل، از محققان امنیتی باسابقه‌ی macOS، قرار داده است. واردل بررسی‌های عمیق‌تری انجام داد تا بفهمد macOS چگونه با چنین مشکلی مواجه شده است. 

واردل در مقاله‌ای اعلام کرده است macOS به‌درستی تشخیص می‌دهد که فایل مورد نظر از اینترنت دانلود شده است و تصمیم می‌گیرد آن را قرنطینه کند و تمامی بررسی‌های امنیتی را انجام بدهد. macOS ابتدا بررسی می‌کند که اپلیکیشن تأیید اعتبار شده است یا خیر (در تکنیک اونز، اپلیکیشن تأیید اعتبار نشده است).

در مرحله‌ی بعد، macOS سراغ بررسی این موضوع می‌رود که نرم‌افزار «بسته‌ی اپلیکیشن» است یا خیر. سیستم‌عامل کامپیوترهای اپل وقتی هیچ فایلی با عنوان info.plist پیدا نمی‌کند، به‌اشتباه تشخیص می‌دهد که با اپلیکیشن مواجه نیست. به‌ همین دلیل macOS هرگونه شواهدی که نشان‌دهنده‌ی خلاف این موضوع باشد نادیده می‌گیرد و بدون نشان دادن هشدار روی صفحه، اجازه‌ی اجرای اپلیکیشن را صادر می‌کند. واردل می‌گوید: «این به‌نوعی دیوانه‌وار است!» 

واردل پس از فهمیدن نحوه‌ی کارکرد باگ macOS سراغ شرکت Jamf (فعال در حوزه‌ی مدیریت دستگاه‌های اپل) رفت تا بفهمد آیا آنتی‌ویروس Protect این شرکت موفق به پیدا کردن بدافزارهای مبتنی‌ بر اسکریپت شده است یا خیر. طبق ادعای واردل، Jamf متوجه شده نسخه‌ای از تبلیغ‌افزار Shlayer به شکل فعالانه مشغول بهره‌برداری از باگ مورد اشاره بوده است.

آسیب‌پذیری macOS Big Sur 11.3 که روز گذشته منتشر شد، رفع شده است

قابلیت گیت‌کیپر macOS که در سال ۲۰۱۲ آغاز به‌ کار کرد، به هنگام تلاش برای اجرای اپلیکیشن‌هایی که از خارج از اپ استور مک دانلود شده‌اند، پیغامی روی صفحه ظاهر می‌کند و به کاربران هشدار می‌دهد که اجرای چنین اپلیکیشنی ممکن است از لحاظ امنیتی کار عاقلانه‌ای نباشد؛ اما طی سال‌های اخیر هکرها بارها موفق شده‌اند قربانیان را فریب بدهند و بدافزارشان را به شکل گسترده وارد سیستم‌ها کنند.

پیش‌نیازهای سیستم تأیید اعتبار اپل که در فوریه‌ی ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) روی کار آمدند، باعث شده‌اند ورود بدافزارها به مک بسیار سخت‌تر شود. اگر کاربر بخواهد اپلیکیشنی اجرا کند که فرایند تأیید اعتبار را نگذرانده باشد، macOS به‌طور کلی اجازه‌ی اجرای اپلیکیشن را نمی‌دهد. این موضوع مشکل بسیار بزرگی برای مجرمان سایبری است؛ به‌خصوص آن‌هایی که به تبلیغ‌افزار متکی می‌شوند. 

گروهی که Shlayer را توسعه می‌دهد به‌شدت دنبال راهکارهایی برای دور زدن سیستم تأیید اعتبار اپل بوده و چند بار توانسته است این سیستم را فریب بدهد. باگی که به شما امکان بدهد سیستم تأیید اعتبار را به‌طور کلی دور بزنید، قطعا مورد استقبال چنین افرادی قرار می‌گیرد. این باگ کار Shlayer را بسیار راحت می‌کند، چون توسعه‌دهندگان این نرم‌افزار مجبور نیستند کاربران را برای اجرای بدافزار فریب بدهند.

ظاهرا اپل در macOS Big Sur 11.3 که روز گذشته منتشر شد، به‌روزرسانی امنیتی ویژه‌ای قرار داده است که باگ را رفع می‌کند. فردی به نمایندگی از اپل در گفت‌و‌گو با وایرد تأیید کرد که باگ رفع‌شده‌ی macOS به بدافزارها امکان می‌داد سیستم تأیید اعتبار را دور بزنند و در نتیجه‌ی آن هشدار گیت‌کیپر روی صفحه ظاهر نشود.

اپل افزون بر رفع آسیب‌پذیری منطقی macOS، ابزار نظارت بر سیستم XProtect را به‌روزرسانی کرده است تا هر نوع نرم‌افزاری که به‌دنبال بهره‌برداری از آسیب‌پذیری مورد اشاره است، شناسایی کند و این موضوع را به کاربر اطلاع بدهد. این یعنی حتی نسخه‌های پیشین macOS نیز اکنون ایمن‌تر هستند. 

واردل می‌گوید این آسیب‌پذیری مک نتیجه‌ی خطایی مهندسی است و نشان می‌دهد حتی حفاظت‌شده‌ترین سیستم‌های عامل نیز ممکن است آسیب‌پذیر باشند. این محقق می‌گوید همه‌ی سیستم‌های عامل دچار باگ امنیتی می‌شوند؛ «اما این باگ بسیاری از بخش‌های اصلی و بنیادی macOS را به‌طور کامل زیر سؤال می‌برد.» این محقق که سابقه‌ای طولانی‌ در بررسی امنیتی macOS دارد، اعلام می‌کند «باگ مورد بحث [نتیجه‌ی] اشتباه نظری بسیار تکان‌دهنده‌ای است.»

اپل روز گذشته iOS 14.5 و iPadOS 14.5 را نیز منتشر کرد. نسخه‌ی جدید iOS قابلیت بحث‌برانگیز حریم خصوصی ATT را که بارها مورد انتقاد فیسبوک قرار گرفته است فعال می‌کند.

منبع wired

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید