طبق آمار، شمار بدافزارهای مک او اس (Apple macOS) بهمرور زمان افزایش مییابد و اپل در سالهای اخیر بهدفعات تلاش کرده است لایههای امنیتی بیشتری به سیستمعامل خود اضافه کند تا اجرای نرمافزارهای مخرب روی macOS بسیار مشکلتر شود.
اما به گزارش وایرد، «یک آسیبپذیری در سیستمعامل» که روز گذشته بهصورت علنی تشریح و رسما پچ شد، مورد بهرهبرداری قرار گرفته است. وایرد ادعا میکند این آسیبپذیری میتوانست «تمامی لایههای حفاظتی macOS را دور بزند.»
سدریک اونز، محقق حوزهی امنیت، در اواسط ماه مارس ۲۰۲۱ (اواخر اسفند ۱۳۹۹ و اوایل فروردین ۱۴۰۰) زمانی که مشغول مطالعه روی قابلیتهای حفاظتی macOS بود موفق به پیدا کردن آسیبپذیری جدید شد.
مکانیزم گیتکیپر (Gatekeeper) از توسعهدهندگان میخواهد در اپل ثبت نام و تعرفهی مشخصی را پرداخت کنند تا امکان اجرای نرمافزار آنها روی مک فراهم شود. فرایند تأیید اعتبار نرمافزارهای مک بهصراحت اعلام میکند یکایک اپلیکیشنهای این سیستمعامل باید فرایند بررسی خودکار را بگذرانند. دستورالعملهای این فرایند بررسی خودکار از قبل توسط اپل تعیین شده است و بهطور مشترک برای همهی نرمافزارها اعمال میشود.
آسیبپذیری منطقی که اونز پیدا کرد ارتباطی به سیستم تأیید اعتبار اپلیکیشنها ندارد بلکه درون خودِ سیستمعامل macOS قرار گرفته است. هکرها از لحاظ تئوری میتوانند بدافزارهای خود را بهگونهای طراحی کنند که سیستمعامل فریب بخورد و اجازهی اجرای آن را صادر کند، حتی اگر در تمام آزمایشهای امنیتیِ گیتکیپر رد شده باشد.
اونز میگوید با درنظرگرفتن بهبودهای امنیتی اعمالشده در macOS طی چند سال اخیر، «متعجب شده که این تکنیک ساده کار کرده است. به همین دلیل با درنظرگرفتن احتمال استفادهی هکرهای دنیای واقعی از این تکنیک برای عبور از گیتکیپر، فورا جزئیات ماجرا را به اپل گزارش دادم.» بر اساس آنچه محقق امنیتی مذکور ادعا میکند، به چند شیوه میتوان از چنین باگی برای نفوذ به سیستم بهرهبرداری کرد.
مشکل امنیتی macOS مثل دَرِ ورودی جلوی خانه است که به شکل مؤثر بسته شده؛ اما در مخصوص عبور گربه در بخش پایینی آن دیده میشود و شما میتوانید بهراحتی از طریق آن، بمبی داخل خانه بیندازید.
اپل بهاشتباه فرض کرده است که اپلیکیشنها همیشه دارای یک سری ویژگی مشخص هستند. اونز متوجه شد اگر اپلیکیشنی که صرفا یک اسکریپت (کدی که به نرمافزار دیگری میگوید کار مشخصی انجام بدهد و خود آن کار را انجام نمیدهد) باشد و از فایل متادیتای اپلیکیشنهای استاندارد به نام info.plist استفاده نکند، میتواند روی تمام مکها اجرا شود. در حالت عادی مک چنین پیغامی روی صفحه ظاهر میکند: «این اپلیکیشن از اینترنت دانلود شده است. مطمئن هستید که میخواهید بازش کنید؟» اما در صورت استفاده از تکنیک اونز، چنین پیغامی روی صفحه ظاهر نمیشود.
اونز میگوید جزئیات کامل باگ macOS را با اپل به اشتراک گذاشته و یافتههای خود را در اختیار پاتریک واردل، از محققان امنیتی باسابقهی macOS، قرار داده است. واردل بررسیهای عمیقتری انجام داد تا بفهمد macOS چگونه با چنین مشکلی مواجه شده است.
واردل در مقالهای اعلام کرده است macOS بهدرستی تشخیص میدهد که فایل مورد نظر از اینترنت دانلود شده است و تصمیم میگیرد آن را قرنطینه کند و تمامی بررسیهای امنیتی را انجام بدهد. macOS ابتدا بررسی میکند که اپلیکیشن تأیید اعتبار شده است یا خیر (در تکنیک اونز، اپلیکیشن تأیید اعتبار نشده است).
در مرحلهی بعد، macOS سراغ بررسی این موضوع میرود که نرمافزار «بستهی اپلیکیشن» است یا خیر. سیستمعامل کامپیوترهای اپل وقتی هیچ فایلی با عنوان info.plist پیدا نمیکند، بهاشتباه تشخیص میدهد که با اپلیکیشن مواجه نیست. به همین دلیل macOS هرگونه شواهدی که نشاندهندهی خلاف این موضوع باشد نادیده میگیرد و بدون نشان دادن هشدار روی صفحه، اجازهی اجرای اپلیکیشن را صادر میکند. واردل میگوید: «این بهنوعی دیوانهوار است!»
واردل پس از فهمیدن نحوهی کارکرد باگ macOS سراغ شرکت Jamf (فعال در حوزهی مدیریت دستگاههای اپل) رفت تا بفهمد آیا آنتیویروس Protect این شرکت موفق به پیدا کردن بدافزارهای مبتنی بر اسکریپت شده است یا خیر. طبق ادعای واردل، Jamf متوجه شده نسخهای از تبلیغافزار Shlayer به شکل فعالانه مشغول بهرهبرداری از باگ مورد اشاره بوده است.
قابلیت گیتکیپر macOS که در سال ۲۰۱۲ آغاز به کار کرد، به هنگام تلاش برای اجرای اپلیکیشنهایی که از خارج از اپ استور مک دانلود شدهاند، پیغامی روی صفحه ظاهر میکند و به کاربران هشدار میدهد که اجرای چنین اپلیکیشنی ممکن است از لحاظ امنیتی کار عاقلانهای نباشد؛ اما طی سالهای اخیر هکرها بارها موفق شدهاند قربانیان را فریب بدهند و بدافزارشان را به شکل گسترده وارد سیستمها کنند.
پیشنیازهای سیستم تأیید اعتبار اپل که در فوریهی ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) روی کار آمدند، باعث شدهاند ورود بدافزارها به مک بسیار سختتر شود. اگر کاربر بخواهد اپلیکیشنی اجرا کند که فرایند تأیید اعتبار را نگذرانده باشد، macOS بهطور کلی اجازهی اجرای اپلیکیشن را نمیدهد. این موضوع مشکل بسیار بزرگی برای مجرمان سایبری است؛ بهخصوص آنهایی که به تبلیغافزار متکی میشوند.
گروهی که Shlayer را توسعه میدهد بهشدت دنبال راهکارهایی برای دور زدن سیستم تأیید اعتبار اپل بوده و چند بار توانسته است این سیستم را فریب بدهد. باگی که به شما امکان بدهد سیستم تأیید اعتبار را بهطور کلی دور بزنید، قطعا مورد استقبال چنین افرادی قرار میگیرد. این باگ کار Shlayer را بسیار راحت میکند، چون توسعهدهندگان این نرمافزار مجبور نیستند کاربران را برای اجرای بدافزار فریب بدهند.
مقالههای مرتبط:
ظاهرا اپل در macOS Big Sur 11.3 که روز گذشته منتشر شد، بهروزرسانی امنیتی ویژهای قرار داده است که باگ را رفع میکند. فردی به نمایندگی از اپل در گفتوگو با وایرد تأیید کرد که باگ رفعشدهی macOS به بدافزارها امکان میداد سیستم تأیید اعتبار را دور بزنند و در نتیجهی آن هشدار گیتکیپر روی صفحه ظاهر نشود.
اپل افزون بر رفع آسیبپذیری منطقی macOS، ابزار نظارت بر سیستم XProtect را بهروزرسانی کرده است تا هر نوع نرمافزاری که بهدنبال بهرهبرداری از آسیبپذیری مورد اشاره است، شناسایی کند و این موضوع را به کاربر اطلاع بدهد. این یعنی حتی نسخههای پیشین macOS نیز اکنون ایمنتر هستند.
واردل میگوید این آسیبپذیری مک نتیجهی خطایی مهندسی است و نشان میدهد حتی حفاظتشدهترین سیستمهای عامل نیز ممکن است آسیبپذیر باشند. این محقق میگوید همهی سیستمهای عامل دچار باگ امنیتی میشوند؛ «اما این باگ بسیاری از بخشهای اصلی و بنیادی macOS را بهطور کامل زیر سؤال میبرد.» این محقق که سابقهای طولانی در بررسی امنیتی macOS دارد، اعلام میکند «باگ مورد بحث [نتیجهی] اشتباه نظری بسیار تکاندهندهای است.»
اپل روز گذشته iOS 14.5 و iPadOS 14.5 را نیز منتشر کرد. نسخهی جدید iOS قابلیت بحثبرانگیز حریم خصوصی ATT را که بارها مورد انتقاد فیسبوک قرار گرفته است فعال میکند.